BandaAncha LinuxVPN

Daniel E.
Coletti
CaFeLUG / LUGAr
GNU/Linux y ``La Banda Ancha''
1era Conferencia Abierta de GNU/Linux
CaFeLUG Capital Federal GNU/Linux Users Group
Agenda
Terminologa utilizada
ppp y pppoe
Tipos de Banda Ancha y Formas
de configurarlas
Ruteo de paquetes
Filtrado de paquetes
Una VPN simple y fcil
Terminologa
La ``banda ancha'' son las
conexiones: !dial-up && !cao,
que existen en la Argentina
PPP (Point to Point Protocol)
PPPOE (PPP Over Ethernet)
VPN (Virtual Private Network)
Tipos de banda ancha (que yo
conozco) y formas de configurarlas
Cablemodem (Fibertel)
via dhcp
Comandos: pump o dhcpcd
Ojo con la ruta por default
Conviene especificar la interface
DNS externo vs. DNS interno
[cont.] Tipos de banda...
ADSL (Telcos)
Roaring Penguin PPPOE (p/
RedHat e Hijos)
apt-get install pppoeconf
(Debian)
Configuracin: adsl-setup /
pppoeconf
Levantar: adsl-start / pon dsl-
provider
Bajar: adsl-stop / poff
No todos los proveedores usan
compresin en PPP
[cont.] Tipos de banda...
Wireless

rp-pppoe (Millicom)
linux-wias desarrollo argentino
(Velocom)
Configuracin: adsl-setup
Levantar: adsl-start
Bajar: adsl-stop
Ruteo de paquetes
``ruteo'' palabra no encontrada en
la RAE (buscar mejor
`èncaminar'') ... o sea, decirles por
dnde tienen que ir los benditos
paquetitos
route add default gw ppp0
(enviar todos los paquetes no
`èncaminables'' por la interface
ppp0)
Encaminando paquetes [cont.]
route add -net 192.168.1.0/24
eth0 (todos los paquetes que
vayan a una direccin
192.168.1.Nnn salen por la
interface eth0)
route add -host 192.168.8.44
gw 192.168.7.1 (enviar todos los
paquetes a 192.168.8.44 por el
`èncaminador'' 192.168.7.1)
La encaminacin [cont.]
route -n (muestra todas las rutas
definidas)
Los paquetes intentan encontrar
su ruta verificando las rutas de
arriba hacia abajo
Las primeras rutas del listado son
las que integran la menor cantidad
de equipos
ltimos detalles
echo 1 >
/proc/sys/net/ipv4/ip_forward
(permite reenviar paquetes)
echo 1 >
/proc/sys/net/ipv4/conf/all/rp_f
ilter (``prende'' la verificacin de
direcciones de origen de cada paquete
mejor mtodo para evitar el spoofing)
Filtrado de paquetes
iptables: cerrar INPUT y FORWARD,
habilitar MASQUERADE en
POSTROUTING y utilizar mdulo de state
ipchains: cerrar input, abrir paquetes tcp
sin SYN y udp mayores a 1023, poner
MASQ en forward
iptables ([cont.] filtrado...)
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -t nat -A POSTROUTING -
s <LAN>/24 -j MASQUERADE
iptables -N OK
iptables -I OK -i
<interface_de_LAN> -j ACCEPT
iptables -A OK -m state --state
RELATED,ESTABLISHED -j ACCEPT
iptables -I INPUT -j OK
iptables -I FORWARD -j OK
iptables -I INPUT -i lo -j
ACCEPT
ipchains ([cont.] filtrado...)
ipchains -P input DENY
iptables -A forward -s <LAN> -j
MASQ
ipchains -A input -i lo -j
ACCEPT
ipchains -A input -s <LAN> -j
ACCEPT
ipchains -A input -p tcp \! -y -
j ACCEPT
ipchains -A input -p udp -d 0/0
:1024 -j ACCEPT
Filtrado... [cont.] (bajando al piso)
Debian
update-rc.d iptables defaults
/etc/init.d/iptables save
active
RedHat
chkconfig level 35 iptables
on
service iptables save active
Filtrado de paquetes [cont.]
Un filtrado de paquetes puede dar
una seguridad aceptable, pero dista
mucho de una configuracin segura
Conviene agregar IDS (NIDS y
HIDS)
Siempre hay que tener las
aplicaciones actualizadas al ltimo
parche estable
Ser conciente de la seguridad
Una VPN simple (LinVPN)
Solo funciona de Linux a Linux
Hay que compilarlo
Se genera un certificado de SSL y se
lo agrega a la base de datos del
servidor
Se lo enva al cliente
Se inicia la conexin desde el cliente
al servidor
No hace falta tener nmeros de IP
fijos en el cliente
LinVPN [cont.]
Instalacin (leer INSTALL)
Levantar el demonio (vpnd daemon)
Generar certificado (vpnadd server
katchatka 10.1.1.2:10.1.1.2)
En el lado del cliente:
Insertar el certificado (vpnadd
client katchatka
200.32.106.149 cert.pem)
Conectar el cliente (vpncd
connect katchatka)
LinVPN [cont.]
Agregado de eventos con vpnd
event katchatka [conn|disco]
Usar el vpnd-wrapper -e para
ejecutar comandos como root
LinVPN [cont.]
Ventajas:
Es simple (bastante plug & pray)
No hay que tocar el kernel
El tnel se arma entre los equipos y
con las rutas se hacen pasar los
paquetes por el tunel
Desventajas:
No tan segura como freeswan
Le falta algo de estabilidad
No es cdigo maduro
Referencias
http://www.roarinpenguin.com
http://linuxwias.sf.net
http://www.void.com.br/linvpn

BandaAncha LinuxVPN

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

BandaAncha LinuxVPN

Transféré par

Droits d'auteur :

Formats disponibles

Daniel E.

Vous aimerez peut-être aussi