OpenVPN: un po di teoria e di configurazione

Transcript

1 Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica 10 dicembre 2004

2 Sommario 1 Introduzione: definizione e utilizzo delle VPN

3 Sommario 1 Introduzione: definizione e utilizzo delle VPN

4 Sommario 1 Introduzione: definizione e utilizzo delle VPN

5 Sommario 1 Introduzione: definizione e utilizzo delle VPN

6 Sommario 1 Introduzione: definizione e utilizzo delle VPN

7 Introduzione alle VPN definizione insieme di strumenti che permettono a reti, in differenti locazioni geografiche, di essere collegate tra loro in modo sicuro, usando la tecnologia di una rete pubblica, come Internet. le VPN offrono tre principali proprietà: sicurezza, confidenzialità e autenticità; possibilità di creare connessioni su reti senza dover utilizzare le costosissime linee dedicate ma utilizzando Internet; VPN implementate seguendo due diversi approcci: estensione al protocollo IP Internet Protocol Security (IPSec); VPN-SSL OpenVPN, Vtun, Tinc, Cipe.

8 IPSec: cenni architetturali IPSec, primo strumento utilizzato per creare delle VPN, proposto nel 1995 come standard RFC; l architettura di IPSec è composta da codice scritto nella parte kernel che modifica lo stack TCP/IP, intervenedo sui pacchetti di rete prima di effettuare l instradamento; tool in user-space per poter configurare le regole di VPN.

9 IPSec: principali svantaggi pericolosità della scrittura di codice kernel (buona pratica non implementare servizi all interno del codice del kernel per ragioni di sicurezza e stabilità); complesso da configurare (scambio di chiavi, Security Association,... i firewall devono essere consapevoli dell esistenza di IPSec).

10 VPN-SSL: architettura OpenVPN demone in user-space che esegue il lavoro; interfaccia virtuale, tun, su cui vengono destinati i pacchetti della VPN; è un interfaccia virtuale Point-to-Point vista come un interfaccia hardware come la T1. A differenza dell interfacce T1 invece di spedire e ricevere i bit sul filo li spedisce e riceve direttamente in user-space. il demone in user-space ascolta sull interfaccia virtuale e comunica con l altro end-point della VPN tramite il protocollo SSL; OpenVPN utilizza questo paradigma per poter trasportare pacchetti cifrati sulla rete Internet (in particolare viene utilizzato TCP over UDP).

11 Schema reperibile da architettura_esempio_landscape.pdf

12 Schema reperibile da scenario_esempio_landscape.pdf Il tarball (.tar.gz) contenente i file di configurazione e le chiavi riferiti a questo scenario, sono reperibili da scenario_esempio_conf.tar.gz

13 : caratteristiche principali file di configurazione autenticazione; pre-shared secret; certificati; Diffie-Hellman effimero; cifratura; TLS authentication HMAC con shared key; etc.

14 1 certificato client, firmato dalla CA; 2 certificato CA self-signed, usato in realtà per verificare certificato server; 3 parametri DH (effimero) per scambiare la chiave di sessione (si poteva cifrare la chiave di sessione con la chiave pubblica del server?); 4 chiave TLS statica pre-shared per HMAC Schema reperibile da scenario_lab_landscape.pdf