VPN Virtual Private Network A virtuális magánhálózat az Interneten keresztül kiépített titkosított csatorna. http://computer.howstuffworks.com/vpn.htm Helyi hálózatok tervezése és üzemeltetése 1
Előnyei Kiterjeszti a földrajzi kapcsolódást Növeli a biztonságot Csökkenti a távoli kapcsolódás költségét Egyszerűsíti a hálózati topológiát Tunneling: egy bizonyos protokollba beágyazunk egy másik protokollt Helyi hálózatok tervezése és üzemeltetése 2
VPN protokollok Point-to-Point Tunneling Protocol (PPTP): Az RFC 2637-ben definiált alagútprotokoll, amely MPPE (Microsoft Point-to-Point Encryption) titkosítással működik. Layer 2 Tunneling Protocol (L2TP): Az L2TP protokoll specifikációját az RFC 2661-ben találjuk. Maga az L2TP protokoll saját titkosítást nem tartalmaz, ezért a virtuális magánhálózatot az L2TP over IPSec, azaz az IPSec titkosítással segített L2TP kapcsolat valósítja meg. Helyi hálózatok tervezése és üzemeltetése 3
A titkosított csatorna felépítése előtt egyeztetni kell A titkosítási algoritmust (DES, 3DES) Az integritást biztosító (hash) algoritmust (SHA1, MD5) Az authentikáció módját (Kerberos, PKI Certificate, szöveges) Az első közös kulcs létrehozásához szükséges Diffie- Hellman (DH) biztonsági üzemmódot (DH group) A kulcsok automatikus cseréinek szabályait (Eltelt idő vagy átvitt forgalom alapján) Helyi hálózatok tervezése és üzemeltetése 4
PPTP Előnye A könnyű kliensoldali telepíthetőség, rugalmasság. A kapcsolat NAT-olhatósága, vagyis egy címfordítást végző tűzfalon is átvihető a tunnel. Az első VPN protokoll, amit támogatott a MS. Hátránya Az összeköttetés biztonságának alacsony szintjét - akár 128 bites titkosítást is képes kezelni Helyi hálózatok tervezése és üzemeltetése 5
IPSec A Hitelesítési fejléc (Authentication Header, AH) használatával megakadályozzuk, hogy az illetéktelenek meghamisítsák az IP csomagok fejlécét. A hasznos adat biztonságos becsomagolása (Encapsulated Security Payload, ESP) Windows-on beállítani rémálom http://unixwiz.net/techtips/iguide-ipsec.html Helyi hálózatok tervezése és üzemeltetése 6
IPSec üzemmódok AH: Authenticated Header NEM titkosított forgalom Digitális aláírás biztosítja a csomagok módosíthatatlanságát IP Protocol ID: 51 ESP: Encapsulated Security Payload (Transport) Titkosított forgalom Önmagában is biztosítja az integritást, de kombinálható az AH-val is IP Protocol ID: 50 IPSec Tunneling (Tunnel) Nem ez a "hivatalos" W2K VPN protokoll Ebben a módban a csomagok új IP fejlécet kapnak (ezért tunneling) Használatához mindkét irányhoz definiálnunk kell a házirendeket, és megadni (a kimenő szabályban) a csatorna túloldali, valamint (a bejövő szabályban) a csatorna helyi IP címét Helyi hálózatok tervezése és üzemeltetése 7
IPSec AH Transport Mode Helyi hálózatok tervezése és üzemeltetése 8
IPSec AH Tunnel Mode Helyi hálózatok tervezése és üzemeltetése 9
IPSec ESP Transport Mode Helyi hálózatok tervezése és üzemeltetése 10
IPSec ESP Tunnel Mode Helyi hálózatok tervezése és üzemeltetése 11
OpenVPN Virtuális hálókártyák (TUN/TAP device) TAP Layer 2, network bridge TUN Layer 3, routing Egyetlen TCP vagy UDP portot használ, az UDP a preferált NAT / Proxy / firewall LZO compression OpenSSL támogatás http://openvpn.net/ Helyi hálózatok tervezése és üzemeltetése 12
Kulcs generálás A VPN tunnel-ünk egy ún. statikus kulcsú (preshared key- előre megosztott kulcs) tunnel lesz. Ehhez létre kell hoznunk egy kulcsot, amellyel a tunnel két végpontja azonosítja egymást. openvpn --genkey --secret static.key Helyi hálózatok tervezése és üzemeltetése 13
A szerver beállítása # Use a dynamic tun device. dev tun0 # 10.1.0.17 is our local VPN endpoint (office). # 10.1.0.18 is our remote VPN endpoint (home). ifconfig 10.1.0.17 10.1.0.18 # Our pre-shared static key secret static.key Helyi hálózatok tervezése és üzemeltetése 14
A szerver beállítása # OpenVPN uses UDP port 1194 by default. port 1194 # LZO compression comp-lzo Helyi hálózatok tervezése és üzemeltetése 15
A kliens beállítása # Change 'myremote' to be your remote host, # or comment out to enter a listening # server mode. remote 82.150.62.34 # Uncomment this line to use a different # port number than the default of 5000. port 1194 Helyi hálózatok tervezése és üzemeltetése 16
A kliens beállítása # Choose one of three protocols supported by # OpenVPN. If left commented out, defaults # to udp. ; proto [tcp-server tcp-client udp] # Enable 'dev tap' or 'dev tun' but not both! dev tun Helyi hálózatok tervezése és üzemeltetése 17
A kliens beállítása # This is a 'dev tun' ifconfig that creates # a point-to-point IP link. tun-mtu 1500 ifconfig 10.1.0.18 10.1.0.17 secret static.key # enable LZO compression comp-lzo Helyi hálózatok tervezése és üzemeltetése 18
A kliens indítása openvpn --config client.ovpn route add 10.0.0.0 mask 255.255.255.0 10.1.0.17 -p Helyi hálózatok tervezése és üzemeltetése 19
Ötletek rossz ötlet engedélyezni olyan kliensek csatlakozását, amelyeket nem védi legalább szoftveres tűzfal és vírusvédelmi program rossz ötlet a tanusítványokban client1..client2..client3..stb nevezni a klienseket rossz ötlet mindenkinek engedélyezni a VPN használatát jó ötlet a felhasználókat nyilvántartani (e-mail, hányas kliens, mettől-meddig érvényes a kulcsa, melyik részlegben dolgozik, mit csinál, mit használ, hálózati eszköz MAC címe) jó ötlet az iptablessel a MAC címeket szűrni Helyi hálózatok tervezése és üzemeltetése 20