VPN Ipsec Ubuntu

  • View
    328

  • Download
    0

Embed Size (px)

Text of VPN Ipsec Ubuntu

Emerson Luis Galeli de Oliveira

Concentrador de VPN com Openswan para conexes em topologia Road Warrior

Monograa de Ps-Graduao Lato Sensu apresentada ao Departamento de Cincia da Computao para obteno do ttulo de Especialista em Administrao em Redes Linux

Orientador Prof. Joaquim Ucha

Lavras Minas Gerais - Brasil 2010

Emerson Luis Galeli de Oliveira

Concentrador de VPN com Openswan para conexes em topologia Road Warrior

Monograa de Ps-Graduao Lato Sensu apresentada ao Departamento de Cincia da Computao para obteno do ttulo de Especialista em Administrao em Redes Linux

Aprovada em 24 de Abril de 2010

Prof. Sandro Pereira Melo

Prof. Denilson V. Martins

Prof. Joaquim Ucha (Orientador)

Lavras Minas Gerais - Brasil 2010

Dedico este trabalho a minha famlia, mas principalmente a minha esposa por toda a ajuda e compreenso durante o processo de elaborao.

AgradecimentosA minha esposa e meu lho pela compreenso. Ao professor Joaquim por sua orientao. Aos professores que contriburam com esta conquista. A Deus por me dar sade e determinao.

Sumrio1 2 Introduo VPN 2.1 2.2 Denies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Criptograa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1 2.2.2 2.2.3 2.2.4 2.3 Algoritmo Simtrico ou de Chave secreta . . . . . . . . . Algoritmo de Chave pblica . . . . . . . . . . . . . . . . Certicados de Chave pblica . . . . . . . . . . . . . . . Funo Hash ou Message Digest . . . . . . . . . . . . . . 1 3 3 5 6 6 7 8 9 9 10 12 12 13 14 16 20 20

Protocolos de Segurana e Tunelamento . . . . . . . . . . . . . . 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6 2.3.7 SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . L2F . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PPTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . SOCKS . . . . . . . . . . . . . . . . . . . . . . . . . . . IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.4

Aplicaes para VPN em Linux . . . . . . . . . . . . . . . . . . 2.4.1 Openswan e strongSwan . . . . . . . . . . . . . . . . . . i

2.4.2 2.4.3 3

OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . POPTOP . . . . . . . . . . . . . . . . . . . . . . . . . .

23 25 27 29 29 30 30 31 33 35 35 36 39 43 47 47 47 49 50 51 51 51 53

Implantando VPN com IPSec 3.1 Instalao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1.1 3.2 3.3 Instalao do Openswan . . . . . . . . . . . . . . . . . .

Criao dos Certicados . . . . . . . . . . . . . . . . . . . . . . Congurao do Openswan . . . . . . . . . . . . . . . . . . . . . 3.3.1 3.3.2 Congurao do Servidor IPSec . . . . . . . . . . . . . . Congurao do Cliente IPSec . . . . . . . . . . . . . . .

3.4

Autenticao do IPSec . . . . . . . . . . . . . . . . . . . . . . . 3.4.1 Congurao das chaves RSA . . . . . . . . . . . . . . .

3.5 4 5

Riscos e Medidas preventivas . . . . . . . . . . . . . . . . . . . .

Resultados Obtidos Concluso

A Criao dos Certicados Digitais A.1 Criao da Autoridade Certicadora - CA . . . . . . . . . . . . . A.2 Criao do certicado para o servidor . . . . . . . . . . . . . . . A.3 Criao do certicado para o clientes . . . . . . . . . . . . . . . . A.3.1 Criao do Certicado para clientes Windows . . . . . . . B Conexo VPN para Clientes Road Warrior Windows B.1 Instalao do L2TP e PPP no Debian . . . . . . . . . . . . . . . . B.1.1 B.1.2 Congurao do L2TP e do PPP no Debian . . . . . . . . Importar Chave X.509 no Windows . . . . . . . . . . . . ii

B.1.3

Congurao do L2TP e do PPP no Windows XP . . . . .

54

iii

iv

Lista de Figuras2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 Cifragem e Decifragem com a mesma chave . . . . . . . . . . . . Estrutura do certicado X.509. . . . . . . . . . . . . . . . . . . . SSL na pilha TCP/IP. . . . . . . . . . . . . . . . . . . . . . . . . Encapsulamento PPTP. . . . . . . . . . . . . . . . . . . . . . . . Conexo L2TP. . . . . . . . . . . . . . . . . . . . . . . . . . . . Frame PPP com L2TP e IPSec. . . . . . . . . . . . . . . . . . . . Segurana na camada de Rede. . . . . . . . . . . . . . . . . . . . Authentication Header . . . . . . . . . . . . . . . . . . . . . . . Encapsulating Security Payload . . . . . . . . . . . . . . . . . . 7 8 10 13 14 15 16 18 19 20 21 22 28 29 30 31 34 35

2.10 IPv4 com AH em modo Tnel e Transporte. . . . . . . . . . . . . 2.11 IPv4 com ESP em modo Tnel e Transporte. . . . . . . . . . . . . 2.12 Contedo de um arquivo ipsec.secrets . . . . . . . . . . . . . . . 3.1 3.2 3.3 3.4 3.5 3.6 Diagrama de Testes . . . . . . . . . . . . . . . . . . . . . . . . . Atualiza APT . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gerao dos certicados X.509 . . . . . . . . . . . . . . . . . . . Arquivo /etc/ipsec.conf no Servidor IPSec . . . . . . . . . . . . . Arquivo /etc/ipsec.conf no Cliente IPSec . . . . . . . . . . . . . . Primeiro exemplo de arquivo /etc/ipsec.secrets . . . . . . . . . . . v

3.7 3.8 3.9

Segundo exemplo de arquivo /etc/ipsec.secrets . . . . . . . . . . . Permisses para arquivos Openswan . . . . . . . . . . . . . . . . Controle de acesso ao Servidor IPSec . . . . . . . . . . . . . . .

35 36 37 37 40 41 42 48 48 49 50 50 50 51 52 52 53 53 53

3.10 Controle de acesso aos servios que passam pela VPN . . . . . . 4.1 4.2 4.3 Circuito de uma empresa com a soluo demonstrada . . . . . . . Pacotes coletados com TCPDUMP sem VPN . . . . . . . . . . . Pacotes coletados com TCPDUMP com VPN . . . . . . . . . . .

A.1 Criao de um certicado CA . . . . . . . . . . . . . . . . . . . . A.2 Alterar validade do CA e criar arquivo CRL . . . . . . . . . . . . A.3 Criao do certicado para o Servidor . . . . . . . . . . . . . . . A.4 Validao do certicado do Servidor com o CA . . . . . . . . . . A.5 Mover Certicados para os locais denitivos . . . . . . . . . . . . A.6 Cria certicado no formato P12 . . . . . . . . . . . . . . . . . . . B.1 Instalar PPP e L2TP no servidor Linux . . . . . . . . . . . . . . . B.2 Arquivo l2tpd.conf . . . . . . . . . . . . . . . . . . . . . . . . . B.3 Arquivo de Opes do L2TPD . . . . . . . . . . . . . . . . . . . B.4 Arquivo de Opes do PPP . . . . . . . . . . . . . . . . . . . . . B.5 Arquivo de senhas dos usurios VPN . . . . . . . . . . . . . . . . B.6 Comando usado para importar chave no Windows . . . . . . . . .

vi

Lista de Tabelas2.1 2.2 3.1 Solues de conexes privadas frente ao modelo OSI . . . . . . . Comparativo entre Openswan e strongSwan. . . . . . . . . . . . . Estrutura de pastas e arquivos do IPSec . . . . . . . . . . . . . . 4 24 30

vii

viii

ResumoEste tabalho apresenta o uso do IPSec com Openswan para criao de conexes seguras utilizando certicados X.509 em equipamentos com Linux, onde os clientes no preciso de endereos IPs permanentes ou DNS dinmico para identicao. E para ajudar no entendimento do contedo foi anexado alguns conceitos sobre VPN, algoritmos de criptograa, protocolos e aplicativos usados para criao de tneis VPN.

Palavras-Chave: VPN; Openswan; IPSec; Road Warrior.

ix

Captulo 1

IntroduoFornecer recursos de informtica para seus funcionrios e parceiros, j no a nica tarefa que as empresas tem para agilizar os processos de trabalho e atender mais e melhor seus clientes ou parceiros. Com o crescimento da internet, muitas alternativas foram criadas para fornecer recursos fora dos portes das companhias, antes restritos s redes locais. Muitas optaram em converter aplicaes para o formato Web ou liberaram a troca de arquivos por meio de FTP, sem a devida preocupao com segurana. Mas recursos como Sistemas ERP, Portais Corporativos, Sistema de Business Intelligence e Sistemas de digitao de pedidos, possuem dados sigilosos demais para serem abertos Internet sem nenhum tipo de proteo extra. Alm dos usurios autorizados, pessoas no autorizadas podem ter interesse nos dados das companhias, como os prprios concorrentes. E muitos buscaram no mercado inmeras solues para melhorar a segurana na comunicao corporativa, como uso de VPN, SSL/TLS em paginas e E-mails, alm de tcnicas de criptograa para os dados. Este trabalho foi motivado pelo desao de atender usurios que tinham conexes VPN com a empresa, inicialmente com IPSec, e passaram a ter outros computadores compartilhando da mesma conexo internet para atividades extras, onde muitos optaram em colocar um roteador com NAT em seus escritrios. Mas com a exigncia do IP dedicado e vlido, a soluo tradicional de VPN com IPSec passou a ser um entrave na vida dos usurios, porm com o uso de certicados X.509 junto ao IPSec tornou possvel as conexes sem endereos IPs xos ou IPs reservados ao estabelecerem tneis com segurana.

1

O objetivo deste trabalho apresentar como realizar conexes seguras com IPSec atravs de certicados X.509, retirando a obrigatoriedade de faixas de endereos IP aos clientes, uso de DNS dinmico ou adio de solues mistas para atender usurios distintos que utilizem NAT em seus roteadores. Algumas solues de mercado usadas para criao de VPN entre redes corporativas e seus usurios remotos sero vistas neste trabalho, com os principais protocolos, algoritmos de criptograa, certicados e aplicaes. Em destaque esto o IPSec, Openswan e X.509 que completam a soluo nal apresentada. O contedo foi organizado como descrito. O Captulo 2 apresenta as formas mais usadas de tunelamento e as principais caractersticas dos protocolos e chaves criptogrcas. O Captulo 3 traz os passos para uma implementao bem sucedida. O Captulo 4 apresenta alguns dos resultados obtidos com a implantao da soluo proposta. O Captulo 5 apresenta as considerae

Search related