Essere a casa anche in viaggio, che cos'e' e come si crea una VPN

Transcript

1 Essere a casa anche in viaggio, che cos'e' e come si crea una VPN LinuxDay 2004@CE caserta hacklab hackaserta relatore: Fausto Napolitano <nk@bitchx.it>

2 La problematica Necessità di accedere a risorse di una rete LAN dall'esterno. Rendere sicura una connessione che passa per un canale pubblico. Voglio spendere pochi $$ (costo telefonate, software proprietario) :)

3 La soluzione: Virtual Private Network (VPN) Tramite una connessione sicura su un canale pubblico è possibile accedere a file su reti (LAN) remote. Molti software sono disponibili per creare una VPN. Quelli per linux sono affidabili e gratuiti.

4

5 VPN quindi è tutto quanto permette di accedere ad una rete remota in tutta sicurezza. Solitamente una VPN include una serie di caratteristiche: crittografia, autenticazione e tunneling. Alcune soluzioni per VPN: Ipsec (insieme di protocolli per la sicurezza, Authentication Header (AH) ed Encapsulating Security Payload (ESP) PPP/VNC su SSH PPTP (M$ Point-to-Point Tunnelling Protocol)

6 Dove utilizzare una VPN In azienda, per far connettere dipendenti dall'esterno su macchine interne (server, plotter, ecc) In connessioni Wifi, dove il wep non basta Fra più LAN, perchè siamo una grande famiglia :) A casa, perchè ci piace smanettare.

7 Software FREE per creare VPN OpenVPN FreeS/WAN (Linux) Isakmpd (OpenBSD) Poptop Vtund Ecc ecc ecc ecc...

8 OpenVPN Linux, Windows 2000/XP e superiori, OpenBSD, FreeBSD, NetBSD, Mac OS X, e Solaris. Stabilire migliaia di connessioni VPN con un 486! Usare crittografia PSK o Public Key su certificati Creare bridge virtuali su tutta la rete tramite TAP devices. Funziona dietro NAT E' facile da usare.

9 Installare/configurare OpenVPN Scaricate il pacchetto scompattatelo da qualche parte :) /usr/packages/openvpn-2.0_beta15 Per attivare la compressione avrete bisogno delle librerie lzo, le trovate sul sito oppure nei ports (vale per *BSD) cd /usr/ports/archivers/lzo && make && make install Ora compilate OpenVPN,./configure --with-lzo-lib=/usr/local/lib --with-lzo-headers=/usr/local/include && make && make install && less README

10 # ================================= # VPN server # istanze multiple su porta singola # autenticazione su certificati # ================================= local tls-server dh /etc/ssl/dh1024.pem ca /etc/ssl/my-ca.crt cert /etc/ssl/office.crt key /etc/ssl/office.key comp-lzo port 8888 dev tap0 ping 15 persist-tun persist-key verb 2 mode server user nobody group nobody daemon log-append /var/log/openvpn.log ;ifconfig-pool ifconfig-pool

11 # =================================== # client vpn # autenticazione su certificati # =================================== remote grossazienda.it tls-client ca my-ca.crt cert user1.crt key user1.key comp-lzo port 8888 dev tap ifconfig ping 15 persist-tun persist-key verb 3

12 # =================================== # VPN server # Pre-Shared Key # =================================== ; L'ip della macchina remota remote secret /etc/openvpn/shared.key ; fuffa :) dev tun0 port 5000 comp-lzo user nobody ping 15 persist-tun persist-key verb 3 ; ip locale ed ip della macchina remota del tunnel ifconfig

13 # =================================== # VPN Client # Pre-Shared Key # =================================== remote ; routing up./routing.sh ; la stessa chiave che avete creato secret /etc/openvpn/shared.key dev tun0 port 5000 comp-lzo user nobody ;group nobody ping 15 persist-tun persist-key verb 3 ; stesso di prima, ma si invertono gli ip ifconfig routing.sh e': #!/bin/bash route delete default route add default gw

14 # openvpn --genkey --secret shared.key # cat shared.key # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V cc639166d63f4e3cf32416ae590be9d1 b35854ee7e86f c2e6b34e18b 71527ada07050c12e2d5cfa0acfc b4bcaa0d9026a3d29386d c22eb51a6fbb234b8d9c7606cb7b6c ca93fe4a22ea67fa8e732bc1f7acd18e 2ea1cf0a29713e7885f194c4e12530b9 68f6373da290df8d0c741cb4f2d6c202 12b5ff6fb37699f650137f1ef36995bf 842a276d35f57c46955b959e068fc2a5 0db604a69c3c2f819d0ac106b9366d57 8be0df9e70e74a35f113cc998db69e47 5e6fa7ad49924c8aca02044c4cccc3f4 2fe0f3c3d4d94cd5258efebf374c c6c397908f53dc9119dda9033e1db 213a778d9e9c4c1553df85f0e END OpenVPN Static key V1-----

15 pavlov:/home/bofh/works/enneservizi/bofh# ls config.ovpn my-ca.crt user1.crt user1.key pavlov:/home/bofh/works/enneservizi/bofh# openvpn --config config.ovpn Wed Nov 24 16:42: OpenVPN 2.0_beta7 powerpc-unknown-linux [SSL] [LZO] [EPOLL] built on Jul Enter PEM pass phrase: Wed Nov 24 16:42: WARNING: file 'user1.key' is group or others accessible Wed Nov 24 16:42: LZO compression initialized Wed Nov 24 16:42: Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ] Wed Nov 24 16:42: TUN/TAP device tap0 opened Wed Nov 24 16:42: /sbin/ifconfig tap netmask mtu 1500 broadcast Wed Nov 24 16:42: Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:19 ET:32 EL:0 ] Wed Nov 24 16:42: Local Options hash (VER=V4): '6bed659e' Wed Nov 24 16:42: Expected Remote Options hash (VER=V4): 'd3f5bde0' Wed Nov 24 16:42: UDPv4 link local (bound): [undef]:8888 Wed Nov 24 16:42: UDPv4 link remote: :8888 Wed Nov 24 16:42: TLS: Initial packet from :8888, sid=36d7e6ba 1c58bb44 Wed Nov 24 16:42: VERIFY OK: depth=1, / C=it/ST=italy/L=caserta/O=enneservizi/OU=vpn Wed Nov 24 16:42: VERIFY OK: depth=0, /C=it/ST=italy/O=enneservizi/OU=office Wed Nov 24 16:42: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Wed Nov 24 16:42: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Wed Nov 24 16:42: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Wed Nov 24 16:42: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Wed Nov 24 16:42: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256- SHA, 1024 bit RSA Wed Nov 24 16:42: [ÿð] Peer Connection Initiated with :8888

16

17

18

19 OpenVPN GUI:

20

21 security E' perfettamente inutile utilizzare la migliore delle tecnologie per rendere sicura una connessione, quando gli utenti che la utilizzano: Danno utenza e password a chiunque, Segnano su foglietti password che attaccano al monitor Creano cdrom con password per distribuirli agli amici

22 Un progetto italiano: LittleNet Attualmente sono presenti 79 nodi in LittleNet, una Net over the internet basata su software libero OpenVPN quagga zebra

23 OpenVPN over Fastweb Alcuni utenti fastweb (rete privata su NAT trovano conveniente appoggiarsi a server OpenVPN esterni per ottenere un ip pubblico. Il senso e' lo stesso di usare mozzarella e pomodoro due programmi per il tunnelling ben noti agli utenti fastweb. L'indirizzo pubblico permette loro di condividere files ad utenti non-fastweb.

24 Cellulari per VPN!? NEC e Panasonic hanno sviluppato un cellulare basato su Linux, per la rete 3G. La nuova piattaforma dara' vita ai modelli N900iL, N901iC, e Panasonic P901i. Il cellulare puo' essere usato come cellulare VoIP per connettersi a reti wireless b, e come client VPN per accedere da remoto ad applicazioni su altri network. Il linux embedded, sviluppato da MontaVista, e' usato anche dalla Motorola, sui cellulari Motorola A760, A768, A780, e E680.

25 Distribuzioni con VPN OpenVPN on wifi con OpenBSD/OpenVPN-PSK

26 The End