01 Openvpn

ComunicaoSeguraemCanaisInseguros
comOpenVPN
RicardoKlberM.Galvo
(rk@ufrn.br)
HelderJeanBritodaSilva
(helder@info.ufrn.br)
http://naris.info.ufrn.br
NcleodeAtendimentoe
RespostaaIncidentesdeSegurana
ComunicaoSeguraemCanaisInseguroscomOpenVPN
RicardoKlber(rk@ufrn.br)
VPNs(RedesVituaisPrivadas)
Contextualizando
Tneisvirtuais
Interfacesvirtuaissobreinterfacesreais
Contextualizando
Geralmenteutilizadasemredespblicas(Internetp.ex.)
Emborapossaserutilizaentremquinasemumaredeprivada
Contextualizando
OutrasCaractersticas
Geralmenteusamcriptografia
Pormnonecessariamente(tneisnoencriptados)
Podemutilizar,ainda,compactao
Reduodotrfegotunelado(aconselhvelemlinkssaturados)
Necessrioavaliarretardodacompactao
Contextualizando
VantagensdeUtilizao
Redesfisicamenteseparadaspodemservistas
logicamentecomoumanicarede
Facilitandoaadministrao
Comousodacriptografia,tmsecanaisseguros,
mesmosobrecanaisinseguros
Reduodecustos(substituiodelinhasprivadasp.ex.)
Focodestaapresentao
CenriosdeImplementao
AcessoRemotoviaInternet
ConexodeLANs
ConexodeHostsemumamesmaIntranet
(semintermediao)
ConexodeHostsemumamesmaIntranet
(comintermediao)
SoftwaresparaImplementaodeVPNs
FreeSwan
(www.freeswan.org)
UsodoIPSecparatunelamento
NativonoIPv6,necessrioinstalarnoIpv4
ModificaonoscabealhosdosdatagramasIpv4
Apresentaproblemasparaestaesemmascaradas(NAT)
Descontinuado(ltimaverso(2.06)de22/04/2004)
SucedidopeloOpenSwan(www.openswan.org)
VoltadoparaVPNsentreLANs
PPTPPonttoPointTunnelingProtocol
(www.pptp.org)
CriadopelaMicrosoft
BaseadonoprotocoloGRE(nvelderede)
NativodesdeoWindows95
ProblemascomNATeliberaoemfirewalls
Criptografiade128bits
VersesanterioresaoWindows2000sempatch=40bits
OutrasOpes:
VtunVirtualTunnel(http://vtun.sourceforge.net)
CipeCryptoIPEncapsulation(http://sourceforge.net/projects/cipelinux)
VpndVirtualPrivateNetworkDaemon(http://vpnd.dotsrc.org)
Tinc(http://www.tincvpn.org)
SecvpnSecureVirtualPrivateNetwork(http://alioth.debian.org/projects/secvpn)
Yavipin(http://yavipin.sourceforge.net)
OpenVPN
http://openvpn.net
PrincipaisCaractersticas
UtilizaosprotocolosSSL/TLS
Flexibilidade(usodeTCPouUDP)
Implementatodososcenriosapresentados
ClientestambmparaWindows(textoougrfico)
Usodechavesaoinvsdeusurio/senha
Plataformas:Linux,Windows(apartirdo2000),
OpenBSD,FreeBSD,NetBSD,MacOSXeSunOS/Solaris
OpenVPN
Instalao
Instalaoapartirdofonte:
Baixarofonte(Verso2.0.9de01/10/2006):
http://openvpn.net/release/openvpn2.0.9.tar.gz
Descompactarem/usr/srceprocederinstalao:
./configure;make;makeinstall
InstalaonoLinuxDebian:
aptgetinstallopenvpn
OpenVPN
ArquivosImportantes
Servidor
ArquivodeConfiguraodoServidor
CertificadodaEntidadeCertificadora(CA)
ChavePblicadaEntidadeCertificadora(CA)
CertificadodoServidor
ChavePblicadoServidor
Cliente
ArquivodeConfiguraodoCliente
CertificadodoCliente
ChavePrivadadoCliente
OpenVPN
ArquivosAuxiliares
ScriptsparaAutomatizarTarefas
Oprocessodeconfiguraoinicialeraomaistrabalhoso
GeraodosparmetrosDiffieHellman(utilizadoparaatrocade
chaves)
GeraomanualeassinaturadaschavesCA
Criaomanualdaschavesdoservidoredosclientes
Atualmente...
Scripts(/usr/share/doc/openvpn/examples/easyrsa)
Arq.Configurao(/usr/share/doc/openvpn/examples/sampleconfigfiles)
OpenVPN
ProcedimentosIniciais
DiretrioPadroeCpiadeScriptseArquivos:
Criaodediretriopadro:
mkdir/etc/openvpn
Cpiadosscriptsparaodiretriopadro:
cd/etc/openvpn
cp/usr/share/doc/openvpn/examples/easyrsa.
cp/usr/share/doc/openvpn/examples/sampleconfigfiles/server.conf.
OpenVPN
GeraodoCertificadoeChavedaCA
Editaroarquivovarsepersonalizarinformaes:
exportKEY_COUNTRY=BR
exportKEY_PROVINCE=RN
exportKEY_CITY=Natal
exportKEY_ORG=SINFOUFRN
exportKEY_EMAIL=naris@info.ufrn.br
CarregarvariveisegerarcertificadodaCA:
#../vars
#./cleanall
#./buildca
InformarCommonName:
CAOpenVPN
ArquivosGerados:
ca.crt
ca.key
OpenVPN
GeraodeCertificadoeChavedoServidor
Executaroscriptparageraodosarquivos:
#./buildkeyserverserver
InformarcomoCommonName:server
InformarcomoCommonName:
Respondery
Responder nasolicitao:Signthecertificate?[y/n]
Arquivosgerados:
server.crt
server.key
OpenVPN
GeraodeCertificadoseChavesdosClientes
Executarparacadacliente:
#./buildkeynome_do_cliente
InformarcomoCommonName:nome_do_cliente
InformarcomoCommonName:
CadaclientedeveterumCommonNamedistinto
Arquivosgerados:
nome_do_cliente.crt
nome_do_cliente.key
Comestesprocedimentososclientesseroautenticadosbaseandose
apenasemseuscertificados.Parautilizarautenticaobaseadaem
certificadoesenha,utilizaroscriptbuildkeypass
,utilizaroscript
OpenVPN
GeraodosParmetrosDiffieHelmann
Executaroscriptparageraodoarquivo:
#./builddh
Arquivogerado:
dh1024.pem
Estageraogeralmentedemorada
Parautilizar2048bits,modificaroarquivovarsantesde
executaroscriptbuilddh.
OpenVPN
ArquivosImportantes
Servidor
ChavePblicadaEntidadeCertificadora(CA)
CertificadodoServidor
ChavePblicadoServidor
server.conf
ca.crt
ca.key
server.crt
server.key
Cliente
CertificadodoCliente
ChavePrivadadoCliente
client.conf
ca.crt
nome_do_cliente.crt
nome_do_cliente.key
OpenVPN
Contedodoarquivoserver.conf:
local200.1.2.3(ipdoservidor)
port1194(portapadro,pormconfigurvel)
protoudp(usarprotocoloudp)
devtun(usartapsomenteemvpnsemnveldeenlace)
caca.crt(arquivodocertificadodoCA)
certserver.crt(arquivodocertificadodoservidor)
keyserver.key(arquivodachaveprivadadoservidor)
dhdh1024.pem(arquivocomparmetrosDiffieHelmann)
OpenVPN
Contedodoarquivoserver.conf(cont.):
server10.8.0.0255.255.255.0(subrededaVPN)
pushroute192.168.0.0255.255.255.0
(clientesreceberorotapararedeatrsdoservidor)
OpenVPN
Contedodoarquivoclient.conf:
client(informaqueatuarcomoclientenaconexo)
devtun(usartapsomenteemvpnsemnveldeenlace)
protoudp(protocoloutilizadonaVPN)
remote200.1.2.31194(endereoIPeportadoservidor)
caca.crt(certificadodoCA)
certnome_do_cliente.crt(certificadodocliente)
keynome_do_cliente.key(chaveprivadadocliente)
OpenVPN
WindowsGUI
OpenVPN
WindowsGUI
OpenVPN
ConectividadeTotal
VisualizandomquinasatrsdeumclienteOpenVPN:
Noarquivodeconfiguraodoservidor(server.conf):
clientconfigdirccd
route192.168.100.0255.255.255.255(redeatrsdocliente)
Criarumarquivoparacadacliente(dentrodosubdiretrioccd):
mkdir/etc/openvpn/ccd/
touch/etc/openvpn/ccd/nome_do_cliente
Cadaarquivoinformaarotaparasuaredeinterna:
iroute192.168.100.0255.255.255.255(redeatrsdocliente)
OpenVPN
ConectividadeTotal
VisualizandomquinasatrsdeumclienteOpenVPN(cont.):
Comisso,mesmoredesatrsdeclientesremotoscomconexono
permanenteficamdisponveisparaacessoenquantoaVPNestiver
ativa;
AsrotassoinseridassomentequandooclienteestabeleceaVPNe
soremovidasautomaticamentequandoaVPNdesfeita;
DestaformaumclienteremototornaseumgatewayVPNparaacesso
de/paraasuaredeinterna.
Umaopodeve,ainda.serhabilitadanoarquivodeconfiguraodo
servidorparapermitiracomunicaoentreclientesVPN:
clienttoclient
OpenVPN
RevogaodeCertificados
Executaroscriptpararevogaodocertificado:
#.vars
#./revokefullnome_do_cliente
Verificarseoarquivocrl.pemgeradoestnodiretriode
configuraodoservidor
Adicionaralinhaabaixonoarquivoserver.conf:
crlverifycrl.pem
OpenVPN
OutrosRecursos
VPNsemnveldeenlace(tnelethernet)
NoarquivodeConfiguraodoservidor(server.conf):
Trocaralinha:devtun
Trocaralinha:
pelalinha:devtap
pelalinha:
ManterIPsdeclientesnasprximasconexes:
Permitirmaisdeumclientecommesmocertificado:
ifconfigpoolpersistipp.txt
duplicatecn
OpenVPN
OutrosRecursos
Limitandoonmerodeclientessimultneos
Registrandologsemarquivoespecfico:
maxclients100(nestecasolimitandoem100)
logopenvpn.log
Concluindo...
ConsolidaodoOpenVPN
FlexibilidadeeRobustez
GPL(GeneralPublicLicense)
Noexigemudanasemnvelderede
PrincipalDesvantagem:NooferecesuporteaWin98
ConcorrenteDireto:PPTP(nativonoWindows)
Nadatosimplesquantoparece,
nemtocomplicadoquantodizomanual
(CorolriodasLeisdeMurph)
Perguntas???
ComunicaoSeguraemCanaisInseguros
comOpenVPN
RicardoKlberM.Galvo
(rk@ufrn.br)
HelderJeanBritodaSilva
(helder@info.ufrn.br)
http://naris.info.ufrn.br
NcleodeAtendimentoe
RespostaaIncidentesdeSegurana

01 Openvpn

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

01 Openvpn

Transféré par

Droits d'auteur :

Formats disponibles

ComunicaoSeguraemCanaisInseguros

Vous aimerez peut-être aussi