Laboratorium nr 4 Sieci VPN

Transkrypt

1 Laboratorium nr 4 Sieci VPN Wprowadzenie Sieć VPN (Virtual Private Network) to sieć komputerowa, która pomimo że używa publicznej infrastruktury (np. sieć Internet), jest w stanie zapewnić wysoki poziom bezpieczeństwa porównywalny do sieci prywatnej. Przede wszystkim, sieci VPN zapewniają poufność i integralność przesyłanych danych. Najbardziej znanym rozwiązaniem jest sieć VPN oparta na IPsec. Protokół IPsec, ma na celu ochronę informacji przesyłanych w sieciach komputerowych. Jest on blisko związany z warstwą sieci w modelu ISO/OSI, czyli protokołem IP. Zapewnia zarówno poufność jak i integralność danych. W celu ich realizacji, zdefiniowano dwa rodzaje nagłówków: AH (Authentication Header) oraz ESP (Encapsulation Security Payload). Protokół AH zapewnia ochronę integralności zarówno dla przesyłanych danych, jak i części nagłówka IP. Ochroną obejmowane są te pola nagłówka, które nie ulegają zmianie podczas wędrówki przez sieć (np. adresy, identyfikator). Aby zapewnić ochronę informacji, wykorzystywane są takie funkcje skrótu jak MD-5, SHA-1 lub RIPEMD-160. Protokół ESP jest bardziej złożony niż AH. Zapewnia, obok ochrony integralności danych, także ich szyfrowanie. Integralność sprawdzana jest tylko dla danych użytecznych. Szyfrowanie natomiast może odbywać się przy wykorzystaniu algorytmów, takich jak: DES, 3DES (Triple DES) czy AES. Algorytmy funkcji skrótu są takie same jak w przypadku AH.

2 Protokół IPsec może pracować w dwóch trybach. Oba z nich przedstawione zostały na rysunku. Pierwszym, najprostszym jest tzw. tryb transportowy. Pomiędzy nagłówkiem IP a protokołem wyższej warstwy (transportowej), dodany został nagłówek IPsec. Chroni on zarówno dane użyteczne jak i nagłówki wyższych warstw. Drugi tryb zapewnia tunelowanie protokołu IP. Dane użyteczne wraz ze wszystkimi nagłówkami są szyfrowane, a protokół IPsec buduje nowy nagłówek IP, w którym umieszcza adresy pośrednich ruterów na trasie między nadawcą a odbiorcą. Dzięki temu, że wewnętrzny pakiet jest szyfrowany w całości, bierny obserwator nie ma możliwości stwierdzenia, między jakimi jednostkami zachodzi komunikacja. Sieci VPN można również budować korzystając z asymetrycznych algorytmów szyfrujących. Na takim sposobie ochrony danych bazuje protokół SSL (Secure Socket Layer). Aby móc zbudować sieć SSL VPN należy stworzyć centrum certyfikacji wraz z całą infrastrukturą klucza publicznego. Przed wysłaniem, dane będą szyfrowane za pomocą kluczy publicznych znajdujących się w odpowiednich certyfikatach. Podczas zajęć laboratoryjnych, do tworzenia testowej sieci VPN zostanie wykorzystany program OpenVPN. Przygotowanie programu 1. Proszę uruchomić komputer w systemie Windows i na pulpicie stworzyć nowy katalog bezpieczenstwo. W tym katalogu należy przechowywać pliki związane z laboratorium. 2. Proszę zainstalować program OpenVPN (instalka do pobrania ze strony przedmiotu lub ze strony OpenVPN). Otworzyć okno z linią komend i przejść do katalogu: C:\Program Files\OpenVPN\easy-rsa Następnie należy wygenerować certyfikaty, które posłużą do bezpiecznego połączenia komputerów. Wykonać komendę: init-config Pojawi się plik: vars.bat, należy go edytować tak żeby ustawić odpowiednio wszystkie parametry: KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG i KEY_ (proszę zwrócić uwagę na fakt że w tym pliku jest podana również długość klucza). 3. Nowe centrum certyfikacyjne tworzymy komendami: vars clean-all build-ca

3 Po wprowadzeniu ostatniej komendy program spyta o parametry zdefiniowane wcześniej w pliku vars.bat wiec wystarczy je potwierdzić, ale proszę pamiętać o ustawieniu parametru Common Name np. na OpenVPN-CA. 4. Generowanie certyfikatów i kluczy dla serwera: build-key-server server Proszę jako Common Name wpisać "server" i potwierdzić pytania: "Sign the certificate? [y/n]" i "1 out of 1 certificate requests certified, commit? [y/n]" 5. Generowanie certyfikatów i kluczy dla 3 klientów: build-key client1 build-key client2 build-key client3 Tym razem również należy wpisać unikalną nazwę Common Name dla każdego z certyfikatów (np. client1, client2, client3 ). W przeciwnym razie certyfikaty nie zostaną wygenerowane poprawnie (rozmiar pliku: 0 bajtów). 6. Definicja parametrów do ustalania kluczy za pomocą komendy: build-dh Proszę zapoznać się ze wszystkimi polami przykładowego certyfikatu (otwieramy certyfikat klikając na nim dwukrotnie). 7. Poniżej przedstawiono wszystkie pliki jakie zostały wygenerowane do tej pory: Filename Needed By Purpose Secret ca.crt server + all clients Root CA certificate NO ca.key key signing machine only Root CA key YES dh{n}.pem server only Diffie Hellman parameters NO server.crt server only Server Certificate NO server.key server only Server Key YES client1.crt client1 only Client1 Certificate NO client1.key client1 only Client1 Key YES client2.crt client2 only Client2 Certificate NO client2.key client2 only Client2 Key YES client3.crt client3 only Client3 Certificate NO client3.key client3 only Client3 Key YES

4 Proszę pliki te przenieś do katalogu: C:\Program Files\OpenVPN\config a następnie kopie niektórych plików dystrybuować do innej grupy laboratoryjnej w celu połączenia się do tego serwera. Które z plików należy dystrybuować do klientów, a które nie możemy? Dlaczego? Połączenie VPN typu klient-serwer 8. Za pomocą pliku server.ovpn (do ściągnięcia ze strony przedmiotu) uruchomić serwer klikamy prawym przyciskiem myszy na pliku server.ovpn i włączamy opcję: Start OpenVPN on this config file. Plik server.ovpn powinien się znajdować w tym samym folderze co pliki z których korzysta serwer (np. klucz prywatny serwera, certyfikaty). Klient na innym komputerze uruchamia plik client.ovpn (najpierw jednak należy edytować odpowiednią linie skryptu, wpisując poprawny adres IP serwera adres z podsieci ). Plik client.ovpn musi się znajdować w tym samym folderze co pliki z których korzysta. Nazwy certyfikatów i klucza prywatnego muszą mieć takie nazwy jakie zostały wpisane w pliku client.ovpn Proszę prześledzić etapy połączenia, a następnie sprawdzić czy pojawiły się nowe połączenia sieciowe z adresami IP z podsieci (komenda: ipconfig). Sprawdzić czy klient połączył się z serwerem za pomocą polecenia: ping adres IP z podsieci (w razie problemów proszę chwilowo wyłączyć systemowy firewall). Można też przeskanować podsieć programem NetScan. W jaki sposób odbyło się uwierzytelnienie klienta? Dlaczego serwer może być pewien że łączy się z nim uprawniony klient? 9. Jeśli z jakiś powodów należy unieważnić certyfikat (np. klucz prywatny został skompromitowany, zmieniły się dane osobowe użytkownika, itp.) można to zrobić za pomocą listy unieważnionych certyfikatów CRL (Certificate Revocation List), która będzie sprawdzana podczas każdorazowej próby łączenia klienta z serwerem. Jeśli na liście CRL znajduje się certyfikat klienta połączenie z tym klientem nie będzie ustalone. Aby unieważnić certyfikat dla klienta nr 2, należy wygenerować listę CRL w katalogu: C:\Program Files\OpenVPN\easy-rsa za pomocą komend: vars revoke-full client2 Komendy te generują plik crl.pem który należy skopiować do folderu, w którym uruchomiony jest serwer. Następnie w pliku konfiguracyjnym serwera należy dodać linię: crl-verify crl.pem tak aby serwer sprawdzał listę odwołanych certyfikatów przy każdorazowej weryfikacji klientów. Na koniec należy uruchomić serwer (lub zrestartować jeśli już jest uruchomiony) i spróbować podłączyć do niego klienta nr 2.

5 Tunel VPN pomiędzy dwoma klientami 10. Tunel VPN będzie uruchamiany przy użyciu pliku config.ovpn (do ściągnięcia ze strony przedmiotu). Obie osoby muszą wpisać odpowiednie adresy IP w pliku konfiguracyjnym i wygenerować współdzielony klucz za pomocą komendy: openvpn --genkey --secret static.key Współdzielony klucz static.key należy dystrybuować do obu jednostek które chcą utworzyć bezpieczny tunel (proszę zwrócić uwagę na format zapisu danych w tym pliku). Następnie uruchamiamy skrypt. Czy udało się stworzyć tunel VPN? Czy współdzielony klucz static.key powinien być tajny czy jawny? Czym rożni się ten sposób łączenia komputerów w porównaniu ze sposobem z poprzedniego punktu? Jaki algorytm szyfrujący jest użyty w celu zabezpieczenia transmisji? Proszę podać długość klucza i rodzaj trybu szyfrowania. 11. Bezpieczeństwo transmisji można sprawdzić na wiele sposobów, np. wysyłając pakiety ping na adresy IP, ściągając udostępniony plik tekstowy, itd. W celu analizy ruchu włączamy program do analizy pakietów: Ethereal lub WireShark (powinien być zainstalowany na stacjach PC). Należy upewnić się czy program analizuje pakiety na odpowiedniej karcie sieciowej. Aby zobaczyć różnice, badania należy przeprowadzić dla połączenia VPN oraz bez niego. 12. Po zakończeniu ćwiczeń należy usunąć wszystkie stworzone przez siebie pliki i katalogi, a także odinstalować programy. Sprawozdanie W sprawozdaniu z laboratorium nr 4 należy opisać wykonane ćwiczenia i ich wyniki. W szczególności należy odpowiedzieć na zadane pytania. Dodatkowo we wnioskach należy wyjaśnić, czym jest Wirtualna Sieć Prywatna (VPN) i dlaczego Infrastruktura Klucza Publicznego (PKI) jest w stanie zapewnić bezpieczeństwo połączeń VPN typu klient-serwer. Dodatkowo (część nieobowiązkowa) - Program OpenVPN ma wiele możliwości można wejść na stronę: i poznać lepiej aplikację. Warto skorzystać z dokumentacji, gotowych przykładów, itp. Można skorzystać z najnowszej wersji programu.