Laboratorium nr 5 Sieci VPN



Podobne dokumenty
Laboratorium nr 4 Sieci VPN

Laboratorium nr 6 VPN i PKI

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

MikroTik Serwer OpenVPN

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Bezpieczeństwo systemów informatycznych

Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

IPsec bezpieczeństwo sieci komputerowych

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client

Zestawienie tunelu VPN po protokole IPSec pomiędzy klientem VPN - Draytek Smart VPN Client za NAT-em, a routerem Draytek

ZiMSK. Konsola, TELNET, SSH 1

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Laboratorium nr 5 Podpis elektroniczny i certyfikaty

Ćwiczenie 8 Implementacja podpisu cyfrowego opartego na standardzie X.509

Połączenie VPN Host-LAN L2TP over IPSec z wykorzystaniem Windows Vista/7

Konfiguracja aplikacji ZyXEL Remote Security Client:

Połączenie VPN LAN-LAN IPSec X.509 (stały IP > stały IP)

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Instrukcja generowania żądania CSR SOW WERSJA 1.6

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

Konfiguracja OpenVPN w AS30GSM200P. Informator Techniczny Strona 1 z 11

Tworzenie połączeń VPN.

1. Wstęp. Wizualizacja połączenia

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

SIP Studia Podyplomowe Ćwiczenie laboratoryjne Instrukcja

Połączenie VPN LAN-LAN IPSec (stały IP > stały IP)

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client

IPSec over WLAN z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

Połączenie VPN Host-LAN IPSec wykorzystaniem routera Vigor jako klienta VPN

Korzystanie z Certyfikatów CC Signet w programie MS Outlook 98

Instrukcja podłączenia bramki IP 1R+L oraz IP 2R+L w trybie serwisowym za pomocą usługi telnet.

KONFIGURACJA SIECIOWA SYSTEMU WINDOWS

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

UNIFON podręcznik użytkownika

Laboratorium Badanie topologii i budowa małej sieci

Koncentrator VPN. Konfiguracja OpenVPN. +Sieci hybrydowe. Dotyczy wersji oprogramowania 3.7 Wersja dokumentu: 1.0

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Usługi sieciowe systemu Linux

Połączenie VPN LAN-LAN IPSec (zmienny IP > zmienny IP)

Instalacja i konfiguracja serwera SSH.

Bezpieczeństwo usług oraz informacje o certyfikatach

Laboratorium nr 1 Szyfrowanie i kontrola integralności

PORADNIK KORZYSTANIA Z SERWERA FTP ftp.architekturaibiznes.com.pl

Połączenie VPN Host-LAN PPTP z wykorzystaniem Windows XP. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Uwaga!!! Autentykacja LDAP/AD zaimplementowana w Vigor wspiera tylko proste uwierzytelnianie (hasło przesyłane jest jawnym tekstem).

Konfiguracja OpenVPN Parę słów o VPN i OpenVPN

Laboratorium - Podgląd informacji kart sieciowych bezprzewodowych i przewodowych

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

Laboratorium systemów MES. Instrukcja korzystania z środowiska do ćwiczeń laboratoryjnych z zakresu Wonderware MES

Protokół IPsec. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2010/11. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

INSTALACJA LICENCJI SIECIOWEJ NET HASP Wersja 8.32

AM_Student. Instrukcja konfiguracji połączenia do studenckiej sieci bezprzewodowej Akademii Morskiej w Szczecinie

12. Wirtualne sieci prywatne (VPN)

Połączenie VPN Host-LAN IPSec wykorzystaniem DrayTek Smart VPN Client

New Features in Allplan Allplan Nowy system licencjonowania w Allplan

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Konfiguracja OpenVPN w AS30GSM200P. Informator Techniczny Strona 1 z 10

INŻYNIERIA BEZPIECZEŃSTWA LABORATORIUM. VPN / OpenVPN

Projektowanie Bezpieczeństwa Sieci Łukasz Jopek Projektowanie Bezpieczeństwa Sieci - Laboratorium. Konfiguracja NAP Network Access Protection

INSTRUKCJA INSTALACJI SYSTEMU

Połączenie VPN Host-LAN IPSec wykorzystaniem DrayTek Smart VPN Client

Konfiguracja własnego routera LAN/WLAN

KANCELARYJNY SYSTEM PODATKOWY

Instrukcja połączenia z programem Compas LAN i import konfiguracji

Podstawy Secure Sockets Layer

Laboratorium nr 2 Szyfrowanie, podpis elektroniczny i certyfikaty

Engenius/Senao EUB-362EXT IEEE802.11b/g USB Instrukcja Obsługi

Vigor 2900 ZyWall 70 konfiguracja połączenia LAN-LAN (IPSec)

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń: - zna rodzaje sieci - zna topologie sieciowe sieci

Instrukcja konfiguracji programu Fakt z modułem lanfakt

Rozdział 8. Sieci lokalne

AM_Student. Instrukcja konfiguracji połączenia do studenckiej sieci bezprzewodowej Akademii Morskiej w Szczecinie

Laboratorium - Konfiguracja routera bezprzewodowego w Windows Vista

Protokół IPsec. Patryk Czarnik

Laboratorium podstaw telekomunikacji

Łukasz Przywarty Wrocław, r. Grupa: WT/N 11:15-14:00. Sprawozdanie z zajęć laboratoryjnych: OpenSSL

SSL (Secure Socket Layer)

Zdalny dostęp SSL. Przewodnik Klienta

Zastosowania PKI dla wirtualnych sieci prywatnych

Laboratorium - Instalacja Virtual PC

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Instrukcja instalacji Control Expert 3.0

Połączenie VPN Host-LAN SSL z wykorzystaniem motp. 1. Aplikacje motp 1.1. DroidOTP 1.2. Mobile-OTP. 2. Konfiguracja serwera VPN

Dokumentacja SMS przez FTP

oprogramowania F-Secure

podstawowa obsługa panelu administracyjnego

Instrukcja do laboratorium. Wprowadzenie do problematyki wirtualizacji. Wirtualizacja sieci.

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

Tomasz Greszata - Koszalin

Przygotowanie urządzenia:

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Transkrypt:

Laboratorium nr 5 Sieci VPN Wprowadzenie Sieć VPN (Virtual Private Network) to sieć komputerowa, która pomimo że używa publicznej infrastruktury (np. sieć Internet), jest w stanie zapewnić wysoki poziom bezpieczeństwa porównywalny do sieci prywatnej. Przede wszystkim, sieci VPN zapewniają poufność i integralność przesyłanych danych. Najbardziej znanym rozwiązaniem jest sieć VPN oparta na IPsec. Protokół IPsec, ma na celu ochronę informacji przesyłanych w sieciach komputerowych. Jest on blisko związany z warstwą sieci w modelu ISO/OSI, czyli protokołem IP. Zapewnia zarówno poufność jak i integralność danych. W celu ich realizacji, zdefiniowano dwa rodzaje nagłówków: AH (Authentication Header) oraz ESP (Encapsulation Security Payload). Protokół AH zapewnia ochronę integralności zarówno dla przesyłanych danych, jak i części nagłówka IP. Ochroną obejmowane są te pola nagłówka, które nie ulegają zmianie podczas wędrówki przez sieć (np. adresy, identyfikator). Aby zapewnić ochronę informacji, wykorzystywane są takie funkcje skrótu jak MD-5, SHA-1 lub RIPEMD-160. Protokół ESP jest bardziej złożony niż AH. Zapewnia, obok ochrony integralności danych, także ich szyfrowanie. Integralność sprawdzana jest tylko dla danych użytecznych. Szyfrowanie natomiast może odbywać się przy wykorzystaniu algorytmów, takich jak: DES, 3DES (Triple DES) czy AES. Algorytmy funkcji skrótu są takie same jak w przypadku AH.

Protokół IPsec może pracować w dwóch trybach. Oba z nich przedstawione zostały na rysunku. Pierwszym, najprostszym jest tzw. tryb transportowy. Pomiędzy nagłówkiem IP a protokołem wyższej warstwy (transportowej), dodany został nagłówek IPsec. Chroni on zarówno dane użyteczne jak i nagłówki wyższych warstw. Drugi tryb zapewnia tunelowanie protokołu IP. Dane użyteczne wraz ze wszystkimi nagłówkami są szyfrowane, a protokół IPsec buduje nowy nagłówek IP, w którym umieszcza adresy pośrednich ruterów na trasie między nadawcą a odbiorcą. Dzięki temu, że wewnętrzny pakiet jest szyfrowany w całości, bierny obserwator nie ma możliwości stwierdzenia, między jakimi jednostkami zachodzi komunikacja. Sieci VPN można również budować korzystając z asymetrycznych algorytmów szyfrujących. Na takim sposobie ochrony danych bazuje protokół SSL (Secure Socket Layer). Aby móc zbudować sieć SSL VPN należy stworzyć centrum certyfikacji wraz z całą infrastrukturą klucza publicznego. Przed wysłaniem, dane będą szyfrowane za pomocą kluczy publicznych znajdujących się w odpowiednich certyfikatach. Podczas zajęć laboratoryjnych, do tworzenia testowej sieci VPN zostanie wykorzystany program OpenVPN. Przygotowanie środowiska 1. Proszę uruchomić komputer w systemie Windows i na pulpicie stworzyć nowy katalog bezpieczenstwo. W tym katalogu należy przechowywać pliki związane z laboratorium. 2. Proszę zainstalować program OpenVPN. Otworzyć okno z linią komend i przejść do katalogu: C:\Program Files\OpenVPN\easy-rsa Następnie należy wygenerować certyfikaty, które posłużą do bezpiecznego połączenia komputerów. Wykonać komendę: init-config Pojawi się plik: vars.bat, należy go edytować tak żeby ustawić odpowiednio wszystkie parametry: KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG i KEY_EMAIL (proszę zwrócić uwagę na fakt że w tym pliku jest podana również długość klucza). 3. Nowe centrum certyfikacyjne tworzymy komendami: vars clean-all build-ca Po wprowadzeniu ostatniej komendy program spyta o parametry zdefiniowane wcześniej w pliku vars.bat wiec wystarczy je potwierdzić, ale proszę pamiętać o ustawieniu parametru Common Name np. na OpenVPN-CA.

4. Generowanie certyfikatów i kluczy dla serwera: build-key-server server Proszę jako Common Name wpisać "server" i potwierdzić pytania: "Sign the certificate? [y/n]" i "1 out of 1 certificate requests certified, commit? [y/n]" 5. Generowanie certyfikatów i kluczy dla 3 klientów: build-key client1 build-key client2 build-key client3 Tym razem również należy wpisać unikalną nazwę Common Name dla każdego z certyfikatów (np. client1, client2, client3 ). W przeciwnym razie certyfikaty nie zostaną wygenerowane poprawnie (rozmiar pliku: 0 bajtów). 6. Definicja parametrów do ustalania kluczy za pomocą komendy: build-dh Proszę zapoznać się ze wszystkimi polami przykładowego certyfikatu (otwieramy certyfikat klikając na nim dwukrotnie). 7. Poniżej przedstawiono wszystkie pliki jakie zostały wygenerowane do tej pory: Filename Needed By Purpose Secret ca.crt server + all clients Root CA certificate NO ca.key key signing machine only Root CA key YES dh{n}.pem server only Diffie Hellman parameters NO server.crt server only Server Certificate NO server.key server only Server Key YES client1.crt client1 only Client1 Certificate NO client1.key client1 only Client1 Key YES client2.crt client2 only Client2 Certificate NO client2.key client2 only Client2 Key YES client3.crt client3 only Client3 Certificate NO client3.key client3 only Client3 Key YES

Proszę pliki te przenieś do katalogu: C:\Program Files\OpenVPN\config a następnie kopie niektórych plików dystrybuować do innej grupy laboratoryjnej w celu połączenia się do tego serwera. Które z plików należy dystrybuować do klientów, a które nie możemy? Dlaczego? Połączenie VPN typu klient-serwer 8. Ze strony: http://kt.agh.edu.pl/~niemiec/lab ściągnąć plik server.ovpn i uruchomić serwer (klikamy prawym przyciskiem myszy na pliku server.ovpn i włączamy opcję: Start OpenVPN on this config file ). Klient na innym komputerze ściąga ze strony http://kt.agh.edu.pl/~niemiec/lab plik client.ovpn, a następnie edytuje odpowiednią linie skryptu wpisując poprawny adres IP serwera i uruchamia skrypt. Proszę prześledzić etapy połączenia, a następnie sprawdzić czy pojawiły się nowe połączenia sieciowe z adresami IP z podsieci 10.8.0.0 (komenda: ipconfig). Sprawdzić czy klient połączył się z serwerem za pomocą polecenia: ping adres IP z podsieci 10.8.0.0 (w razie problemów proszę chwilowo wyłączyć systemowy firewall Windowsa XP). Można też przeskanować podsieć 10.8.0.0 programem NetScan. W jaki sposób odbyło się uwierzytelnienie klienta? Dlaczego serwer może być pewien że łączy się z nim uprawniony klient? 9. Jeśli z jakiś powodów należy unieważnić certyfikat (np. klucz prywatny został skompromitowany, zmieniły się dane osobowe użytkownika, itp.) można to zrobić za pomocą listy unieważnionych certyfikatów CRL (Certificate Revocation List), która będzie sprawdzana podczas każdorazowej próby łączenia klienta z serwerem. Jeśli na liście CRL znajduje się certyfikat klienta połączenie z tym klientem nie będzie ustalone. Aby unieważnić certyfikat dla klienta nr 2, należy wygenerować listę CRL w katalogu: C:\Program Files\OpenVPN\easy-rsa za pomocą komend: vars revoke-full client2 Komendy te generują plik crl.pem który należy skopiować do folderu, w którym uruchomiony jest serwer. Następnie w pliku konfiguracyjnym serwera należy dodać linię: crl-verify crl.pem tak aby serwer sprawdzał listę odwołanych certyfikatów przy każdorazowej weryfikacji klientów. Na koniec należy uruchomić serwer (lub zrestartować jeśli już jest uruchomiony) i spróbować podłączyć do niego klienta nr 2.

Tunel VPN pomiędzy dwoma klientami 10. Ze strony: http://kt.agh.edu.pl/~niemiec/lab proszę ściągnąć plik config.ovpn i w parach stworzyć tunel VPN, wpisując odpowiednie adresy IP obu komputerów w pliku konfiguracyjnym i generując współdzielony klucz za pomocą komendy: openvpn --genkey --secret static.key Współdzielony klucz static.key należy dystrybuować do obu jednostek które chcą utworzyć bezpieczny tunel (proszę zwrócić uwagę na format zapisu danych w tym pliku). Następnie uruchamiamy skrypt. Czy udało się stworzyć tunel VPN? Czy współdzielony klucz static.key powinien być tajny czy jawny? Czym rożni się ten sposób łączenia komputerów w porównaniu ze sposobem z poprzedniego punktu? Jaki algorytm szyfrujący jest użyty w celu zabezpieczenia transmisji? Proszę podać długość klucza i rodzaj trybu szyfrowania. 11. Bezpieczeństwo transmisji można sprawdzić na wiele sposobów, np. wysyłając pakiety ping na adresy IP, ściągając udostępniony plik tekstowy, itd. W celu analizy ruchu włączamy program do analizy pakietów: Ethereal lub WireShark (powinien być zainstalowany na stacjach PC). Należy upewnić się czy program analizuje pakiety na odpowiedniej karcie sieciowej. Aby zobaczyć różnice, badania należy przeprowadzić dla połączenia VPN oraz bez niego. 12. Po zakończeniu ćwiczeń należy usunąć wszystkie stworzone przez siebie pliki i katalogi, a także odinstalować programy. Proszę się upewnić czy nie pozostawiliśmy jakiś udostępnionych folderów. Sprawozdanie W sprawozdaniu z laboratorium nr 5 należy opisać wykonane ćwiczenia i ich wyniki. W szczególności należy odpowiedzieć na zadane pytania. Dodatkowo we wnioskach należy wyjaśnić, czym jest Wirtualna Sieć Prywatna (VPN) oraz krótko opisać architekturę VPN IPsec i VPN SSL. Dodatkowo (część nieobowiązkowa) Dla osób zainteresowanych tematem: - Program OpenVPN ma wiele możliwości można wejść na stronę: http://openvpn.net i poznać lepiej aplikację. Warto skorzystać z dokumentacji, gotowych przykładów, itp. Warto skorzystać z najnowszej wersji programu.