Laboratorium nr 4 Sieci VPN



Podobne dokumenty
Laboratorium nr 5 Sieci VPN

Laboratorium nr 6 VPN i PKI

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

MikroTik Serwer OpenVPN

Bezpieczeństwo systemów informatycznych

Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client

Zestawienie tunelu VPN po protokole IPSec pomiędzy klientem VPN - Draytek Smart VPN Client za NAT-em, a routerem Draytek

IPsec bezpieczeństwo sieci komputerowych

Laboratorium nr 5 Podpis elektroniczny i certyfikaty

Połączenie VPN LAN-LAN IPSec X.509 (stały IP > stały IP)

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

ZiMSK. Konsola, TELNET, SSH 1

Konfiguracja aplikacji ZyXEL Remote Security Client:

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Instrukcja generowania żądania CSR SOW WERSJA 1.6

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Połączenie VPN Host-LAN L2TP over IPSec z wykorzystaniem Windows Vista/7

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Ćwiczenie 8 Implementacja podpisu cyfrowego opartego na standardzie X.509

Konfiguracja OpenVPN w AS30GSM200P. Informator Techniczny Strona 1 z 11

1. Wstęp. Wizualizacja połączenia

Tworzenie połączeń VPN.

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

IPSec over WLAN z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

Korzystanie z Certyfikatów CC Signet w programie MS Outlook 98

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

KONFIGURACJA SIECIOWA SYSTEMU WINDOWS

SIP Studia Podyplomowe Ćwiczenie laboratoryjne Instrukcja

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Połączenie VPN LAN-LAN IPSec (stały IP > stały IP)

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client

Instrukcja podłączenia bramki IP 1R+L oraz IP 2R+L w trybie serwisowym za pomocą usługi telnet.

Połączenie VPN Host-LAN IPSec wykorzystaniem routera Vigor jako klienta VPN

Usługi sieciowe systemu Linux

AM_Student. Instrukcja konfiguracji połączenia do studenckiej sieci bezprzewodowej Akademii Morskiej w Szczecinie

Protokół IPsec. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2010/11. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

UNIFON podręcznik użytkownika

Instalacja i konfiguracja serwera SSH.

Bezpieczeństwo usług oraz informacje o certyfikatach

PORADNIK KORZYSTANIA Z SERWERA FTP ftp.architekturaibiznes.com.pl

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Laboratorium systemów MES. Instrukcja korzystania z środowiska do ćwiczeń laboratoryjnych z zakresu Wonderware MES

Laboratorium - Podgląd informacji kart sieciowych bezprzewodowych i przewodowych

Laboratorium nr 2 Szyfrowanie, podpis elektroniczny i certyfikaty

Koncentrator VPN. Konfiguracja OpenVPN. +Sieci hybrydowe. Dotyczy wersji oprogramowania 3.7 Wersja dokumentu: 1.0

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Zdalny dostęp SSL. Przewodnik Klienta

Połączenie VPN LAN-LAN IPSec (zmienny IP > zmienny IP)

Laboratorium nr 1 Szyfrowanie i kontrola integralności

Konfiguracja OpenVPN Parę słów o VPN i OpenVPN

Konfiguracja OpenVPN w AS30GSM200P. Informator Techniczny Strona 1 z 10

Połączenie VPN Host-LAN IPSec wykorzystaniem DrayTek Smart VPN Client

New Features in Allplan Allplan Nowy system licencjonowania w Allplan

Dokumentacja SMS przez FTP

INŻYNIERIA BEZPIECZEŃSTWA LABORATORIUM. VPN / OpenVPN

Uwaga!!! Autentykacja LDAP/AD zaimplementowana w Vigor wspiera tylko proste uwierzytelnianie (hasło przesyłane jest jawnym tekstem).

Połączenie VPN Host-LAN IPSec wykorzystaniem DrayTek Smart VPN Client

Konfiguracja własnego routera LAN/WLAN

Vigor 2900 ZyWall 70 konfiguracja połączenia LAN-LAN (IPSec)

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

12. Wirtualne sieci prywatne (VPN)

Ćwiczenie 5a Sieć komputerowa z wykorzystaniem rutera.

Laboratorium Badanie topologii i budowa małej sieci

Podstawy Secure Sockets Layer

Instrukcja instalacji Control Expert 3.0

INSTALACJA LICENCJI SIECIOWEJ NET HASP Wersja 8.32

Łukasz Przywarty Wrocław, r. Grupa: WT/N 11:15-14:00. Sprawozdanie z zajęć laboratoryjnych: OpenSSL

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Zastosowania PKI dla wirtualnych sieci prywatnych

KANCELARYJNY SYSTEM PODATKOWY

Instrukcja do laboratorium. Wprowadzenie do problematyki wirtualizacji. Wirtualizacja sieci.

Laboratorium - Konfiguracja routera bezprzewodowego w Windows Vista

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń: - zna rodzaje sieci - zna topologie sieciowe sieci

AM_Student. Instrukcja konfiguracji połączenia do studenckiej sieci bezprzewodowej Akademii Morskiej w Szczecinie

SSL (Secure Socket Layer)

Protokół IPsec. Patryk Czarnik

Projektowanie Bezpieczeństwa Sieci Łukasz Jopek Projektowanie Bezpieczeństwa Sieci - Laboratorium. Konfiguracja NAP Network Access Protection

Laboratorium podstaw telekomunikacji

Połączenie VPN Host-LAN PPTP z wykorzystaniem Windows XP. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Opis instalacji i konfiguracji programu HW Virtual Serial Port z kasą PS3000Net

Sieci VPN SSL czy IPSec?

INSTRUKCJA INSTALACJI SYSTEMU

Instrukcja połączenia z programem Compas LAN i import konfiguracji

Połączenie VPN Host-LAN SSL z wykorzystaniem motp. 1. Aplikacje motp 1.1. DroidOTP 1.2. Mobile-OTP. 2. Konfiguracja serwera VPN

VSFTPd Użycie certyfikatów niekwalifikowanych w oprogramowaniuvsftpd. wersja 1.3 UNIZETO TECHNOLOGIES SA

Ćwiczenie 5b Sieć komputerowa z wykorzystaniem rutera.

podstawowa obsługa panelu administracyjnego

Engenius/Senao EUB-362EXT IEEE802.11b/g USB Instrukcja Obsługi

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

DESlock+ szybki start

Bezpieczne logowanie do SAP

System zdalnego dostępu (VPN) do sieci Wydziału Elektrycznego PW

Tomasz Greszata - Koszalin

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Protokół DHCP. DHCP Dynamic Host Configuration Protocol

Transkrypt:

Laboratorium nr 4 Sieci VPN Wprowadzenie Sieć VPN (Virtual Private Network) to sieć komputerowa, która pomimo że używa publicznej infrastruktury (np. sieć Internet), jest w stanie zapewnić wysoki poziom bezpieczeństwa porównywalny do sieci prywatnej. Przede wszystkim, sieci VPN zapewniają poufność i integralność przesyłanych danych. Najbardziej znanym rozwiązaniem jest sieć VPN oparta na IPsec. Protokół IPsec, ma na celu ochronę informacji przesyłanych w sieciach komputerowych. Jest on blisko związany z warstwą sieci w modelu ISO/OSI, czyli protokołem IP. Zapewnia zarówno poufność jak i integralność danych. W celu ich realizacji, zdefiniowano dwa rodzaje nagłówków: AH (Authentication Header) oraz ESP (Encapsulation Security Payload). Protokół AH zapewnia ochronę integralności zarówno dla przesyłanych danych, jak i części nagłówka IP. Ochroną obejmowane są te pola nagłówka, które nie ulegają zmianie podczas wędrówki przez sieć (np. adresy, identyfikator). Aby zapewnić ochronę informacji, wykorzystywane są takie funkcje skrótu jak MD-5, SHA-1 lub RIPEMD-160. Protokół ESP jest bardziej złożony niż AH. Zapewnia, obok ochrony integralności danych, także ich szyfrowanie. Integralność sprawdzana jest tylko dla danych użytecznych. Szyfrowanie natomiast może odbywać się przy wykorzystaniu algorytmów, takich jak: DES, 3DES (Triple DES) czy AES. Algorytmy funkcji skrótu są takie same jak w przypadku AH.

Protokół IPsec może pracować w dwóch trybach. Oba z nich przedstawione zostały na rysunku. Pierwszym, najprostszym jest tzw. tryb transportowy. Pomiędzy nagłówkiem IP a protokołem wyższej warstwy (transportowej), dodany został nagłówek IPsec. Chroni on zarówno dane użyteczne jak i nagłówki wyższych warstw. Drugi tryb zapewnia tunelowanie protokołu IP. Dane użyteczne wraz ze wszystkimi nagłówkami są szyfrowane, a protokół IPsec buduje nowy nagłówek IP, w którym umieszcza adresy pośrednich ruterów na trasie między nadawcą a odbiorcą. Dzięki temu, że wewnętrzny pakiet jest szyfrowany w całości, bierny obserwator nie ma możliwości stwierdzenia, między jakimi jednostkami zachodzi komunikacja. Sieci VPN można również budować korzystając z asymetrycznych algorytmów szyfrujących. Na takim sposobie ochrony danych bazuje protokół SSL (Secure Socket Layer). Aby móc zbudować sieć SSL VPN należy stworzyć centrum certyfikacji wraz z całą infrastrukturą klucza publicznego. Przed wysłaniem, dane będą szyfrowane za pomocą kluczy publicznych znajdujących się w odpowiednich certyfikatach. Podczas zajęć laboratoryjnych, do tworzenia testowej sieci VPN zostanie wykorzystany program OpenVPN. Przygotowanie programu 1. Proszę uruchomić komputer w systemie Windows i na pulpicie stworzyć nowy katalog bezpieczenstwo. W tym katalogu należy przechowywać pliki związane z laboratorium. 2. Proszę zainstalować program OpenVPN (instalka do pobrania ze strony przedmiotu lub ze strony OpenVPN). Otworzyć okno z linią komend i przejść do katalogu: C:\Program Files\OpenVPN\easy-rsa Następnie należy wygenerować certyfikaty, które posłużą do bezpiecznego połączenia komputerów. Wykonać komendę: init-config Pojawi się plik: vars.bat, należy go edytować tak żeby ustawić odpowiednio wszystkie parametry: KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG i KEY_EMAIL (proszę zwrócić uwagę na fakt że w tym pliku jest podana również długość klucza). 3. Nowe centrum certyfikacyjne tworzymy komendami: vars clean-all build-ca

Po wprowadzeniu ostatniej komendy program spyta o parametry zdefiniowane wcześniej w pliku vars.bat wiec wystarczy je potwierdzić, ale proszę pamiętać o ustawieniu parametru Common Name np. na OpenVPN-CA. 4. Generowanie certyfikatów i kluczy dla serwera: build-key-server server Proszę jako Common Name wpisać "server" i potwierdzić pytania: "Sign the certificate? [y/n]" i "1 out of 1 certificate requests certified, commit? [y/n]" 5. Generowanie certyfikatów i kluczy dla 3 klientów: build-key client1 build-key client2 build-key client3 Tym razem również należy wpisać unikalną nazwę Common Name dla każdego z certyfikatów (np. client1, client2, client3 ). W przeciwnym razie certyfikaty nie zostaną wygenerowane poprawnie (rozmiar pliku: 0 bajtów). 6. Definicja parametrów do ustalania kluczy za pomocą komendy: build-dh Proszę zapoznać się ze wszystkimi polami przykładowego certyfikatu (otwieramy certyfikat klikając na nim dwukrotnie). 7. Poniżej przedstawiono wszystkie pliki jakie zostały wygenerowane do tej pory: Filename Needed By Purpose Secret ca.crt server + all clients Root CA certificate NO ca.key key signing machine only Root CA key YES dh{n}.pem server only Diffie Hellman parameters NO server.crt server only Server Certificate NO server.key server only Server Key YES client1.crt client1 only Client1 Certificate NO client1.key client1 only Client1 Key YES client2.crt client2 only Client2 Certificate NO client2.key client2 only Client2 Key YES client3.crt client3 only Client3 Certificate NO client3.key client3 only Client3 Key YES

Proszę pliki te przenieś do katalogu: C:\Program Files\OpenVPN\config a następnie kopie niektórych plików dystrybuować do innej grupy laboratoryjnej w celu połączenia się do tego serwera. Które z plików należy dystrybuować do klientów, a które nie możemy? Dlaczego? Połączenie VPN typu klient-serwer 8. Za pomocą pliku server.ovpn (do ściągnięcia ze strony przedmiotu) uruchomić serwer klikamy prawym przyciskiem myszy na pliku server.ovpn i włączamy opcję: Start OpenVPN on this config file. Plik server.ovpn powinien się znajdować w tym samym folderze co pliki z których korzysta serwer (np. klucz prywatny serwera, certyfikaty). Klient na innym komputerze uruchamia plik client.ovpn (najpierw jednak należy edytować odpowiednią linie skryptu, wpisując poprawny adres IP serwera adres z podsieci 149.156.203.0). Plik client.ovpn musi się znajdować w tym samym folderze co pliki z których korzysta. Nazwy certyfikatów i klucza prywatnego muszą mieć takie nazwy jakie zostały wpisane w pliku client.ovpn Proszę prześledzić etapy połączenia, a następnie sprawdzić czy pojawiły się nowe połączenia sieciowe z adresami IP z podsieci 10.8.0.0 (komenda: ipconfig). Sprawdzić czy klient połączył się z serwerem za pomocą polecenia: ping adres IP z podsieci 10.8.0.0 (w razie problemów proszę chwilowo wyłączyć systemowy firewall). Można też przeskanować podsieć 10.8.0.0 programem NetScan. W jaki sposób odbyło się uwierzytelnienie klienta? Dlaczego serwer może być pewien że łączy się z nim uprawniony klient? 9. Jeśli z jakiś powodów należy unieważnić certyfikat (np. klucz prywatny został skompromitowany, zmieniły się dane osobowe użytkownika, itp.) można to zrobić za pomocą listy unieważnionych certyfikatów CRL (Certificate Revocation List), która będzie sprawdzana podczas każdorazowej próby łączenia klienta z serwerem. Jeśli na liście CRL znajduje się certyfikat klienta połączenie z tym klientem nie będzie ustalone. Aby unieważnić certyfikat dla klienta nr 2, należy wygenerować listę CRL w katalogu: C:\Program Files\OpenVPN\easy-rsa za pomocą komend: vars revoke-full client2 Komendy te generują plik crl.pem który należy skopiować do folderu, w którym uruchomiony jest serwer. Następnie w pliku konfiguracyjnym serwera należy dodać linię: crl-verify crl.pem tak aby serwer sprawdzał listę odwołanych certyfikatów przy każdorazowej weryfikacji klientów. Na koniec należy uruchomić serwer (lub zrestartować jeśli już jest uruchomiony) i spróbować podłączyć do niego klienta nr 2.

Tunel VPN pomiędzy dwoma klientami 10. Tunel VPN będzie uruchamiany przy użyciu pliku config.ovpn (do ściągnięcia ze strony przedmiotu). Obie osoby muszą wpisać odpowiednie adresy IP w pliku konfiguracyjnym i wygenerować współdzielony klucz za pomocą komendy: openvpn --genkey --secret static.key Współdzielony klucz static.key należy dystrybuować do obu jednostek które chcą utworzyć bezpieczny tunel (proszę zwrócić uwagę na format zapisu danych w tym pliku). Następnie uruchamiamy skrypt. Czy udało się stworzyć tunel VPN? Czy współdzielony klucz static.key powinien być tajny czy jawny? Czym rożni się ten sposób łączenia komputerów w porównaniu ze sposobem z poprzedniego punktu? Jaki algorytm szyfrujący jest użyty w celu zabezpieczenia transmisji? Proszę podać długość klucza i rodzaj trybu szyfrowania. 11. Bezpieczeństwo transmisji można sprawdzić na wiele sposobów, np. wysyłając pakiety ping na adresy IP, ściągając udostępniony plik tekstowy, itd. W celu analizy ruchu włączamy program do analizy pakietów: Ethereal lub WireShark (powinien być zainstalowany na stacjach PC). Należy upewnić się czy program analizuje pakiety na odpowiedniej karcie sieciowej. Aby zobaczyć różnice, badania należy przeprowadzić dla połączenia VPN oraz bez niego. 12. Po zakończeniu ćwiczeń należy usunąć wszystkie stworzone przez siebie pliki i katalogi, a także odinstalować programy. Sprawozdanie W sprawozdaniu z laboratorium nr 4 należy opisać wykonane ćwiczenia i ich wyniki. W szczególności należy odpowiedzieć na zadane pytania. Dodatkowo we wnioskach należy wyjaśnić, czym jest Wirtualna Sieć Prywatna (VPN) i dlaczego Infrastruktura Klucza Publicznego (PKI) jest w stanie zapewnić bezpieczeństwo połączeń VPN typu klient-serwer. Dodatkowo (część nieobowiązkowa) - Program OpenVPN ma wiele możliwości można wejść na stronę: http://openvpn.net i poznać lepiej aplikację. Warto skorzystać z dokumentacji, gotowych przykładów, itp. Można skorzystać z najnowszej wersji programu.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres