UTILIZE A PESQUISA!

Mostrando postagens com marcador VPN. Mostrar todas as postagens
Mostrando postagens com marcador VPN. Mostrar todas as postagens

OpenVpn com Ubuntu Server 10.04/12.04 LTS

O OpenOpen é muito útil quando precisamos acessar a intranet por fora ou simplesmente navegar de forma segura.
Este tutorial passo-a-passo, que encontrei na internet, ajuda muito pra quem precisa criar seu servidor VPN.
Ele irá ensiná-lo a instalar e configurar um servidor OpenVPN no sistema operacional Ubuntu 12.04 LTS ou superior e também como configurar clientes Windows e Linux para acessar o servidor de VPN.
Ele foi está disponível neste link http://blogdonerd.com.br/2012/06/openvpn-servidor-ubuntu-e-clientes-windows-e-linux

Point-to-Point Tunneling Protocol (PPTP)

O Protocolo de Tunelamento Ponto-a-Ponto (PPTP), desenvolvido por um forum de empresas (Microsoft, Ascend Communications, 3Com, ECI Telematics e US Robotics), foi um dos primeiros protocolos de VPN a surgirem.

Ele tem sido uma solução muito utilizada em VPNs discadas desde que a Microsoft incluiu suporte para Servidores Windows NT 4.0 e ofereceu um cliente PPTP num service pack para Windows 95, o que praticamente assegura seu uso continuado nos próximos anos. O protocolo mais difundido para acesso remoto na Internet é o PPP (Point-to-Point Protocol), o qual originou o PPTP. O PPTP agrega a funcionalidade do PPP para que o acesso remoto seja tunelado através da Internet para um site de destino.

O PPTP encapsula pacotes PPP usando uma versão modificada do protocolo de encapsulamento genérico de roteamento (GRE), que dá ao PPTP a flexibilidade de lidar com outros tipos de protocolos diferentes do IP, como o IPX e o NetBEUI.

Devido a sua dependência do PPP, o PPTP se baseia nos mecanismos de autenticação do PPP, os protocolos PAP e CHAP. Entretanto, este protocolo apresenta algumas limitações, tais como não prover uma forte criptografia para proteção de dados e não suportar qualquer método de autenticação de usuário através de token.


Conexão

Numa conexão PPTP, existem três elementos envolvidos: o Cliente PPTP, o Servidor de Acesso a Rede (NAS - Network Acess Server) e o Servidor PPTP. O cliente se conecta a um NAS, através de um PoP em um ISP local. Uma vez conectado, o cliente pode enviar e receber pacotes via Internet. O NAS utiliza TCP/IP para todo o tráfego de Internet.

Depois do cliente ter feito a conexão PPP inicial com o ISP, uma segunda chamada dial-up é realizada sobre a conexão PPP existente. Os dados desta segunda conexão são enviados na forma de datagramas IP que contém pacotes PPP encapsulados. É esta segunda conexão que cria o túnel com o servidor PPTP nas imediações da LAN corporativa privada.

O esquema desta conexão pode ser visto na imagem abaixo:

Algoritmos de Criptografia para VPN

Nós aqui ja falamos sobre VPN, agora vamos aobordar alguns aspectos sobre os algoritmos de criptografia para VPN:

DES - Data Encryption Standard
É um padrão de criptografia simétrica, adotada pelo governo dos EUA em 1977.O DES utiliza chaves simétricas de 56 bits para encriptar blocos de 64 bits de dados.
Apesar de este método fornecer mais de 72.000 trilhões de possíveis combinações de chaves, que levariam pelo menos 10 anos para que um computador comum rodasse todas
estas combinações, utilizando-se um conjunto de máquinas podem quebrá-lo em menos de um minuto.

Triple -DES
O Triple-DES é uma variação do algoritmo DES, sendo que o processo tem três fases: A seqüência é criptografada, sendo em seguida decriptografada com uma chave errada, e novamente criptografada.

RSA - Rivest Shamir Adleman
É um padrão criado por Ron Rivest, Adi Shamir e Leonard Adleman em 1977 e utiliza chave pública de criptografia, tirando vantagem do fato de ser extremamente difícil fatorar o produto de números primos muito grandes.

Diffie-Hellman
Foi desenvolvido por Diffie e Hellman em 1976. Este algoritmo permite a troca de chaves secretas entre dois usuários. A chave utilizada é formada pelo processamento de duas outras chaves uma pública e outra secreta.

Fontes:
http://www.unifia.edu.br/participacao_do_aluno/trabalhos/VPN_Monografia.pdf, http://www.gpr.com.br/download/vpn.pdf

IPSec VPN

IPSec não é o mecanismo de encriptação ou autenticação, mas sim o que vem gerenciar estes. Em poucas palavras, é um framework (um conjunto de diversas ferramentas, compondo um sistema) de padrões abertos que visa a garantir uma comunicação segura em redes IP. Baseado em padrões desenvolvidos pela IETF (Internet Engineering Task Force, organização que desenvolve os padrões da Internet), o IPSec busca garantir confidencialidade, integridade e autenticidade nas comunicações de dados em uma rede IP pública.

Encriptação e autenticação podem ser implementadas tanto na camada de rede, quanto na de enlace ou aplicação. Antes do IPSec, as redes adotavam soluções parciais, que resolviam apenas parte dos problemas. Por exemplo, a utilização de SSL (Secure Sockets Layer, que simulam túneis seguros entre aplicativos) fornece encriptação no nível de aplicação, muito usado em navegadores de Internet, por exemplo, para acesso à serviços bancários. Uma das deficiências da encriptação no nível de aplicação é que ela protege somente os dados enviados pela aplicação que a está usando, mas não de todas as outras. Cada sistema ou aplicativo deve estar adaptado a SSL, para que uma segurança geral possa ser garantida. Atualmente, a maior parte dos aplicativos não utiliza SSL.

Já em instituições militares, o que vem sendo usado há anos é a encriptação no nível do enlace de dados. Neste esquema, todas as comunicações estarão protegidas por dispositivos de encriptação colocados em cada fim do enlace. Apesar de oferecer excelente cobertura, este tipo de encriptação necessita de um par de dispositivos de encriptação a cada enlace, o que pode ser inviável; também não é adequado para a Internet, já que apenas os enlaces dentro de um sistema autônomo estarão ao alcance das empresas/instituições.

O IPSec implementa encriptação e autenticação na camada de rede, fornecendo uma solução de segurança fim-a-fim, ao contrário da anterior (enlace), que é ponto-a-ponto. O IPSec pode ser implementado nos roteadores ou no sistema operacional dos terminais, assim os aplicativos não precisam de alterações para poder utilizar comunicações seguras. Como os pacotes encriptados têm o mesmo formato de pacotes IP comuns, eles podem ser roteados sem problemas em qualquer rede IP, e sem qualquer alteração nos equipamentos de rede intermediários. Os únicos dispositivos de rede que precisam ser alterados são os do início e fim das comunicações IPSec, reduzindo assim os custos de implementação e gerenciamento.

A figura abaixo mostra onde a encriptação atua nas diferentes camadas:


Encriptação na camada de enlace, na de rede e na aplicação.

Fonte: http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/vpn/ipsec.html#mozTocId786656

Criando VPN com o OpenVPN

Neste artigo traremos passo a passo como criar sua VPN com o OpenVPN:
O pacote necessario e o openvpn, em distribuicoes como
debian, basta usar o apt e instalar o pacote.
-> apt-get install openvpn
Apos instalado o pacote, certificar de que o modulo
tun esteja carregado, se nao estiver, use o comando
abaixo para poder carrega-lo.
-> modprobe tun
Depois de instalado e o modulo carregado, comecaremos a configurar
a vpn. Para este exemplo, usaremos os nomes de matriz e filial
por questao de definicao,
-> O diretorio padrao de trabalho e: /etc/openvpn/
O primeiro passo a ser feito, e gerar a chave de encriptacao
no roteador da matriz, com o comando, isso ira gerar um arquivo
com o nome de vpnkey e a key dentro dele:
-> openvpn –genkey –secret vpnkey
-Configuracao de rede na matriz:
*Exemplo de configuracao no roteador da matriz:
eth0: 200.10.10.1
eth1: 192.168.0.1
-Configuracao de rede na Filial:
eth0: 230.110.10.34
eth1: 192.168.1.1
Iremos criar agora os arquivos de configuracoes da filial, no
roteador da matriz e daremos o nome ao arquivo de filial.conf
——————-filial.conf——————————–
# Usa o modulo de interface tun carregado anteriormente
dev tun
# Ip remoto a conectar (No caso o ip da Matriz)
remote 200.10.10.1
# Primeiro ip local tunelado(filial) e segundo ip tunelado Matriz.
ifconfig 10.0.0.1 10.0.0.2
# Arquivo que contem a chave.
secret vpnkey
# Porta UDP que sera usada pelo VPN
# Mais de 1 VPN tera que usar portas difirentes
# esta porta fica a mesma na matriz e na filial
port 5003
# Testa a conexao do VPN
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key# Verbosity level.
# 0 — quiet except for fatal errors.
# 1 — mostly quiet, but display non-fatal network errors.
# 3 — medium output, good for normal operation.
# 9 — verbose, good for troubleshooting
verb 3
# Scripts a serem rodados quando o vpn for ativado
# e quando o vpn for desativado
up /etc/openvpn/filial.up
down /etc/openvpn/filial.down
- Agora iremos criar o arquivo filial.up que colocara as rotas para nosso vpn com a filial.
#!/bin/sh
echo
echo “Criando rotas para redes tuneladas…”
ip route add 192.168.0.0/24 via 10.0.0.2
touch /etc/openvpn/up.running
- Agora iremos criar o arquivo filial.down que ira retirar as rotas para nosso vpn com a filial.
#!/bin/sh
echo
echo “Removendo rotas para redes tuneladas…”
ip route del 192.168.0.0/24 via 10.0.0.2
touch /etc/openvpn/down.running
PRONTO!! As configuracoes do vpn na matriz ja esta certa, vamos agora
para o roteador da filial configura-lo.
-Com os mesmos pacotes e modulos carregados..
1- Copie o arquivo vpnkey que voce gerou no rotedor da matriz e coloque
dentro da pasta /etc/openvpn no roteador da filial.
2- Crie os arquivos abaixo(parecido com os que voce criou na matriz).
——————-matriz.conf——————————–
# Usa o modulo de interface tun carregado anteriormente
dev tun
# Ip remoto a conectar (No caso o ip da Filial)
remote 230.110.10.34
# Primeiro ip local tunelado(Matriz) e segundo ip tunelado filial.
ifconfig 10.0.0.2 10.0.0.1
# Arquivo que contem a chave.
secret vpnkey
# Porta UDP que sera usada pelo VPN
# Mais de 1 VPN tera que usar portas difirentes
# esta porta fica a mesma na matriz e na filial
port 5003
# Testa a conexao do VPN
ping 15
ping-restart 45
ping-timer-rempersist-tun
persist-key
# Verbosity level.
# 0 — quiet except for fatal errors.
# 1 — mostly quiet, but display non-fatal network errors.
# 3 — medium output, good for normal operation.
# 9 — verbose, good for troubleshooting
verb 3
# Scripts a serem rodados quando o vpn for ativado
# e quando o vpn for desativado
up /etc/openvpn/matriz.up
down /etc/openvpn/matriz.down
- Agora iremos criar o arquivo matriz.up que colocara as rotas para nosso vpn com a filial.
#!/bin/sh
echo
echo “Criando rotas para redes tuneladas…”
ip route add 192.168.1.0/24 via 10.0.0.1
touch /etc/openvpn/up.running
- Agora iremos criar o arquivo matriz.down que ira retirar as rotas para nosso vpn com a filial.
#!/bin/sh
echo
echo “Removendo rotas para redes tuneladas…”
ip route del 192.168.1.0/24 via 10.0.0.1
touch /etc/openvpn/down.running
PRONTO!!
Inicie o openvpn tanto na matriz quando na filial.
/etc/init.d/openvnp start

Redes Virtuais Privadas (VPNs)

As redes virtuais privadas são definidas como a conectividade de cliente implementada em uma infra-estrutura compartilhada com as mesmas políticas de uma rede privada. A infra-estrutura compartilhada pode alavancar um provedor de Serviços IP, um Frame Relay, um backbone ATM ou a Internet. Existem três tipos de VPNs, de acordo com a maneira como as empresas utilizam as VPNs.

*VPN de Acesso - Proporciona acesso remoto a uma intranet ou extranet corporativa em uma infra-estrutura compartilhada e com as mesmas políticas de uma rede privada. Permite que os usuários tenham acesso aos recursos corporativos em qualquer momento, em qualquer lugar e da maneira como for necessário. As VPNs de acesso incluem tecnologias analógicas, de discagem, ISDN, Linha digital por assinatura (DSL), IP móvel e tecnologias de cabo para conexões seguras por usuários móveis, telecomutadores ou escritórios de filiais.

*VPN de Intranet - Estabelece ligações entre escritórios centrais corporativos, escritórios remotos e filiais e uma infra-estrutura compartilhada utilizando conexões dedicadas. As empresas comerciais defrutam as mesmas políticas de uma rede privada, incluindo segurança, qualidade de serviço (QoS), gerenciamento e confiabilidade.

*VPN de Extranet - Estabelece ligações de clientes, fornecedores, parceiros ou comunidades de interesse a uma intranet corporativa em uma infra-estrutura compartilhada utilizando conexões dedicadas. As empresas comerciais defrutam as mesmas políticas de uma rede privada, incluindo segurança, (QoS), gerenciamento e confiabilidade.









Essa figura fornece uma visão da topologia lógica de uma VPN.



Conteúdo extraído das página 190 e 191 do livro INTERNET WORKING TECHONOLOGIES HANDBOOK - TRADUÇÃO DA SEGUNDA EDIÇÃO.