Bezpieczeństwo systemów informatycznych

Transkrypt

1 Politechnika Poznańska Bezpieczeństwo systemów rozproszonych Bezpieczeństwo systemów informatycznych ĆWICZENIE VPN 1. Tunele wirtualne 1.1 Narzędzie OpenVPN OpenVPN jest narzędziem służącym do tworzenia szyfrowanych tuneli VPN przy wykorzystaniu protokołu SSL/TLS. Instalacja nie wymaga ingerencji w jądro systemu operacyjnego, przez co rozwiązanie to jest proste i łatwe w uruchomieniu. Tunel jest tworzony z wykorzystaniem wirtualnych interfejsów sieciowych TUN/TAP. OpenVPN pozwala uwierzytelniać szyfrowane tunele w oparciu o dwie metody: 1. static key mode: strony współdzielą między sobą tajny wstępny klucz (pre-shared key). Wygenerowanie współdzielonego klucza następuje komendą: % openvpn --genkey --secret shared.key 2. SSL/TLS mode: certyfikaty X.509 i wykorzystanie infrastruktury klucza publicznego PKI. Utworzenie tunelu sprowadza się do utworzenia pliku konfiguracyjnego opisującego parametry tunelu i uruchomienie programu openvpn ze wskazaniem tej konfiguracji. 1.2 Przykładowy tunel VPN W porównaniu do IPsec, w tunelu utworzonym przez OpenVPN wyróżnia się role serwera i klienta. Zawartość pliku konfiguracyjnego decyduje, która strona połączenia jest serwerem, a która klientem. Koniec tunelu (wirtualny interfejs w systemie operacyjnym) od strony serwera ma adres IP: , a od strony klienta (patrz opcja ifconfig w plikach konfiguracyjnych poniżej). Serwer jest dostępny pod adresem IP: i nasłuchuje na porcie Serwer udostępnia klientowi dwie sieci /24 i /24 znajdujące się za tunelem /24 tunel SSL klient serwer /24 Plik konfiguracyjny dla serwera (/etc/openvpn/static.conf): proto tcp-server ifconfig secret /root/openvpn/shared.key keepalive inactive 3600 verb 4 ćwiczenie: VPN (wersja ) strona 1/6

2 Bezpieczeństwo systemów rozproszonych Politechnika Poznańska Uruchomienie serwera: % openvpn --config /etc/openvpn/static.conf Przykład pliku konfiguracyjnego dla klienta (/etc/openvpn/client.conf): proto tcp-client # remote <ip serwera> <port, na którym nasłuchuje serwer> remote ifconfig secret shared.key keepalive # trasa do sieci wewnętrznej za bramką VPN (po stronie serwera) route route Uruchomienie klienta: % openvpn --config /etc/openvpn/client.conf Szczegółowe opisy opcji użytych w powyższym przykładzie znajdują się w podręczniku systemowym dla programu openvpn (man openvpn). Dla przykładu: proto określa jaki protokół będzie wykorzystywany do przenoszenia zaszyfrowanego ruchu (i przy okazji kto w połączeniu jest serwerem, a kto klientem) remote określa jaki adres IP ma serwer i na jakim porcie nasłuchuje serwer dev określa jaki sterownik jest wykorzystany do utworzenia połączenia VPN ifconfig polecenie nadania adresów IP obu końcom tunelu keepalive polecenie pomocnicze ułatwiające utrzymywanie tunelu i sprawdzanie dostępności klienta. polecenie uaktywniające kompresję przesyłanych danych route polecenie pozwala podać adresy sieci jakie mają być dostępne przez połączenie VPN verb określa poziom szczegółowości powiadomień o działaniu openvpn (domyślnie na konsoli, chyba że zdecydujemy się na rejestrowanie w pliku logu) 1.3 Uwierzytelnianie stron i szyfrowanie ruchu sieciowego za pomocą certyfikatów SSL Przykład pliku konfiguracyjnego dla serwera: proto tcp-server ifconfig ##########SSL######################### tls-server tls-remote lab-sec-client ca cacert.pem dh dh.pem cert newcert.pem key newreq.pem ###################################### persist-tun persist-local-ip persist-remote-ip persist-key mlock keepalive max-clients 1 inactive 3600 verb 4 strona 2/6 ćwiczenie: VPN

3 Politechnika Poznańska Bezpieczeństwo systemów rozproszonych mlock polecenie zwiększające poziom bezpieczeństwa programu openvpn, wymuszające nie zapisywanie kluczy na dysk twardy. persist-local-ip pomocnicze polecenie pozwalające zapamiętać lokalny adres IP persist-remote-ip podobnie jak wyżej ale dotyczy adresu zdalnego hosta user, group polecenia wymuszające zrzucenie uprawnień do poziomu użytkownika nieuprzywilejowanego tls-server polecenie pozwalające określić stronę serwera podczas negocjacji SSL tls-remote polecenie pozwala podać nazwę common name drugiej strony (podana nazwa musi być zgodna z common name w certyfikacie) cipher pozwala podać jaki algorytm ma zostać użyty do szyfrowania przesyłanych danych Przykład pliku konfiguracyjnego dla klienta: proto tcp-client remote ifconfig #######SSL##################################### tls-client tls-remote lab-sec-server ca cacert.pem cert newcert.pem key newreq.pem ############################################### persist-tun persist-local-ip persist-remote-ip persist-key mlock # trasa do sieci wewnętrznej za bramką VPN (po stronie serwera) route route Konfiguracja serwera dla wielu klientów Przykład pliku konfiguracyjnego dla serwera: proto tcp-server server ifconfig-pool-persist ipp.txt # opcjonalne max-clients 10 ##########SSL######################### tls-server ca cacert.pem dh dh.pem cert newcert.pem key newreq.pem ###################################### persist-tun persist-local-ip persist-remote-ip persist-key mlock keepalive inactive 3600 verb 4 ćwiczenie: VPN strona 3/6

4 Bezpieczeństwo systemów rozproszonych Politechnika Poznańska 2. Tworzenie tuneli VPN pomiędzy systemami Linux a Windows OpenVPN jest narzędziem, które pozwala na tworzenie tuneli również pod Windows. Program openvpn posiada specjalną wersję pod Windows, która pozwala na uruchomienie tunelu np. między Linuksem a Windows. Poniżej pokazano jak można utworzyć taki tunel VPN. Po zainstalowaniu otrzymujemy nowy interfejs sieciowy TAP, przez który będzie można nawiązywać szyfrowane połączenia VPN: Uruchomienie openvpn pod Windows Jest kilka rzeczy na które trzeba zwrócić uwagę: plik konfiguracyjny musi mieć rozszerzenie.ovpn plik konfiguracyjny musi znajdować się w katalogu config programu openvpn (patrz ramka z adresem folderu) Wystarczy wybrać odpowiednią opcję z menu kontekstowego pliku konfiguracyjnego lub narzędzia OpenVPN GUI: strona 4/6 ćwiczenie: VPN

5 Politechnika Poznańska Bezpieczeństwo systemów rozproszonych Po uruchomieniu pokazuje nam się okno konsoli z logami programu openvpn. Utworzenie tunelu następuje po zakończeniu procedury negocjacji połączenia (patrz ostatnia linia na poniższym zrzucie ekranu): Nowy adres IP po ustanowieniu tunelu widać oczywiście na interfejsie TAP: Literatura Zadania: 1. Skonfiguruj połączenie VPN przy użyciu mechanizmu pre-shared key. 2. Skonfiguruj połączenie VPN przy użyciu certyfikatów SSL. 3. Skonfiguruj połączenie VPN w sytuacji gdy jeden host będący końcem tunelu działa pod kontrolą systemu Windows. ćwiczenie: VPN strona 5/6

6 Bezpieczeństwo systemów rozproszonych Politechnika Poznańska Dodatek Generacja certyfikatów SSL Wykorzystany zostanie skrypt CA.sh z katalogu /usr/share/ssl/misc 1. utworzenie certyfikatu CA (urzędu certyfikacji):./ca.sh -newca Należy podać wszystkie dane potrzebne do utworzenia certyfikatu. 2. utworzenie pliku z kluczem prywatnym dla danej strony tunelu wraz z prośbą o podpisanie klucza:./ca.sh -newreq Należy podać wszystkie dane potrzebne do utworzenia certyfikatu dla danej strony połączenia, przy czym najważniejsze jest pole Common Name. 3. podpisanie prośby o certyfikat z pkt. 2:./CA.sh -sign Po wykonaniu wszystkich kroków będziemy dysponować trzema plikami: cacert.pem certyfikat dla CA newreq.pem klucz prywatny dla danej strony połączenia newcert.pem certyfikat z kluczem publicznym dla danej strony połączenia Następnie należy wygenerować źródło do metody Diffiego-Helmana: openssl dhparam -out dh.pem 1024 Można również odszyfrować klucz prywatny wygenerowany wcześniej: openssl rsa -in newkey.pem -out key.pem strona 6 laboratorium Bezpieczeństwo systemów informatycznych (ćwiczenie VPN dodatek)