Contruindo VPNs Virtual Private Networks Introdução à VPN Conceituação VPN - Virtual Private Network O conceito de VPN surgiu a partir da necessidade de se utilizar redes de comunicação não confiáveis (por exemplo, a Internet) para trafegar informações de forma segura. VPN - Virtual Private Network Uma VPN proporciona conexões, nas quais o acesso e a troca de informações, somente são permitidas a usuários, que estão em redes distintas que façam parte de uma mesma comunidade de interesse (uma empresa). VPN - Virtual Private Network Uma VPN pode interligar duas ou mais redes via Internet ou através de um link privado, o que possibilita estabelecer um túnel que passa através dessa VPN. VPN - Virtual Private Network Uma rede VPN utiliza um padrão de criptografia mundial, criado pelo IETF (Internet Engineering Task Force), o que torna todo o tráfego de informação nesse túnel, seguro. Tunelamento VPN se baseia na tecnologia de tunelamento. Consiste em encapsular um protocolo dentro de outro. O protocolo de tunelamento encapsula o protocolo que será transportado, e o cabeçalho do protocolo que encapsulou vai fornecer o destino do pacote do protocolo transportado. Tunelamento Um quadro Ethernet, contendo um IP na sua carga útil, saído de um host 1 na rede Ethernet é recebido por um roteador multiprotocolo, extremidade numa rede WAN. O roteador remove esse pacote IP, encapsula dentro de um pacote camada de rede da WAN, enviando-o até o roteador multiprotocolo na outra extremidade da rede WAN. O roteador remove o pacote IP recebido e envia a um host 2 na rede Ethernet remota. VPN - Virtual Private Network No caso de VPN, é acrescentado a criptografia, antes do tunelamento. Tunelamento VPN = [ pacote xxx ] + [ Criptografia do pacote xxx] + [ Encapsulamento do pacote criptografado sobre IP] VPN - Virtual Private Network Exemplo: Se uma empresa usa redes Novell com o protocolo IPX, e quer que as outras filiais utilizem o mesmo servidor Novell, os pacotes IPX devem ser criptografados e encapsulados dentro do protocolo IP. VPN - Virtual Private Network Rede Novell Tunelamento VPN = [ pacote IPX ] + [ Criptografia ] + [ Encapsulamento sobre IP] VPN - Virtual Private Network Túnel é a denominação do caminho lógico percorrido pelos pacotes encapsulados. A rede VPN poder ser construída sobre uma rede pública (Internet) ou privada. Aplicações para VPN Três aplicações ditas mais importantes para as VPNs: Acesso remoto via Internet. Conexão de LANs via Internet. Conexão de computadores numa Intranet. Acesso remoto via Internet Fonte: RNP Acesso remoto via Internet O acesso remoto a redes corporativas através da Internet pode ser viabilizado com a VPN através da ligação local a algum provedor de acesso (Internet Service Provider - ISP). Acesso remoto via Internet A estação remota disca para o provedor de acesso, conectando-se à Internet e o software de VPN cria uma rede virtual privada entre o usuário remoto e o servidor de VPN corporativo através da Internet. Conexão de LANs via Internet Fonte: RNP Conexão de LANs via Internet Fonte: RNP Uma solução que substitui as conexões entre LANs através de circuitos dedicados de longa distância é a utilização de circuitos dedicados locais interligando-as à Internet. O software de VPN assegura esta interconexão formando a WAN corporativa. Conexão de Computadores numa Intranet Fonte: RNP Conexão de Computadores numa Intranet Em algumas organizações, existem dados confidenciais cujo acesso é restrito a um pequeno grupo de usuários. Nestas situações, redes locais departamentais são implementadas fisicamente separadas da LAN corporativa. Conexão de Computadores numa Intranet Esta solução, apesar de garantir a "confidencialidade" das informações, cria dificuldades de acesso a dados da rede corporativa por parte dos departamentos isolados. Conexão de Computadores numa Intranet As VPNs possibilitam a conexão física entre redes locais, restringindo acessos indesejados através da inserção de um servidor VPN entre elas. Observe que o servidor VPN não irá atuar como um roteador entre a rede departamental e o resto da rede corporativa uma vez que o roteador possibilitaria a conexão entre as duas redes permitindo o acesso de qualquer usuário à rede departamental sensitiva. Conexão de Computadores numa Intranet Com o uso da VPN o administrador da rede pode definir quais usuários estarão credenciados a atravessar o servidor VPN e acessar os recursos da rede departamental restrita. Conexão de Computadores numa Intranet Adicionalmente, toda comunicação ao longo da VPN pode ser criptografada assegurando a "confidencialidade" das informações. Os demais usuários não credenciados sequer enxergarão a rede departamental. Requisitos básicos Autenticação de usuários. Gerenciamento de endereço. Criptografia de dados. Gerenciamento de chaves. Suporte a múltiplos protocolos. Autenticação de Usuários Verificação da identidade do usuário, restringindo o acesso às pessoas autorizadas. Deve dispor de mecanismos de auditoria, provendo informações referentes aos acessos efetuados - quem acessou, o quê e quando foi acessado. Gerenciamento de Endereço O endereço do cliente na sua rede privada não deve ser divulgado, devendo-se adotar endereços fictícios para o tráfego externo. Criptografia de Dados Os dados devem trafegar na rede pública ou privada num formato cifrado e, caso sejam interceptados por usuários não autorizados, não deverão ser decodificados, garantindo a privacidade da informação. O reconhecimento do conteúdo das mensagens deve ser exclusivo dos usuários autorizados. Gerenciamento de Chaves O uso de chaves que garantem a segurança das mensagens criptografadas deve funcionar como um segredo compartilhado exclusivamente entre as partes envolvidas. O gerenciamento de chaves deve garantir a troca periódica das mesmas, visando manter a comunicação de forma segura. Suporte a Múltiplos Protocolos Com a diversidade de protocolos existentes, torna-se bastante desejável que uma VPN suporte protocolos usadas nas redes públicas, tais como IP (Internet Protocol), IPX (Internetwork Packet Exchange), . Tunelamento Tunelamento em Nível 2 – Enlace - (PPP sobre IP) O objetivo é transportar protocolos de nível 3, tais como o IP e IPX na Internet. Os protocolos utilizam quadros como unidade de troca, encapsulando os pacotes da camada 3 (como IP/IPX) em quadros PPP (Point-to-Point Protocol). Como exemplos podemos citar: PPTP (Point-to-Point Tunneling Protocol) da Microsoft permite que o tráfego IP, IPX e NetBEUI sejam criptografados e encapsulados para serem enviados através de redes IP privadas ou públicas como a Internet. Como exemplos podemos citar: L2TP (Layer 2 Tunneling Protocol) da IETF (Internet Engineering Task Force). Permite que o tráfego IP, IPX e NetBEUI sejam criptografados e enviados através de canais de comunicação de datagrama ponto a ponto tais como IP, X25, Frame Relay ou ATM. L2F (Layer 2 Forwarding) da Cisco é utilizada para VPNs discadas. Tunelamento em Nível 3 - Rede - (IP sobre IP) Encapsulam pacotes IP com um cabeçalho adicional deste mesmo protocolo antes de enviálos através da rede. O IP Security Tunnel Mode (IPSec) da IETF permite que pacotes IP sejam criptografados e encapsulados com cabeçalho adicional deste mesmo protocolo para serem transportados numa rede IP pública ou privada. Tunelamento em Nível 3 - Rede - (IP sobre IP) O IPSec é um protocolo desenvolvido para IPv6, devendo, no futuro, se constituir como padrão para todas as formas de VPN caso o IPv6 venha de fato substituir o IPv4. O IPSec sofreu adaptações possibilitando, também, a sua utilização com o IPv4. Tipos de túneis Os túneis podem ser criados de duas diferentes formas - voluntárias e compulsórias: Túnel Voluntário Túnel Compulsório Túnel Voluntário O computador do usuário funciona como uma das extremidades do túnel e, também, como cliente do túnel e emite uma solicitação VPN para configurar e criar um túnel voluntário entre duas máquinas, uma máquina em cada rede privada, e que são conectadas via Internet. VPN entre duas máquinas Túnel Compulsório O computador do usuário não funciona como extremidade do túnel. Um servidor de acesso remoto, localizado entre o computador do usuário e o servidor do túnel, funciona como uma das extremidades e atua como o cliente do túnel. Um servidor de acesso discado VPN configura e cria um túnel compulsório. Tunelamento compulsório Tunelamento compulsório O computador ou dispositivo de rede que provê o túnel para o computador-cliente é conhecido de diversas formas: FEP (Front End Processor) no PPTP, LAC (L2TP Access Concentrator) no L2TP IP Security Gateway no caso do IPSec. Tunelamento compulsório Doravante, adotaremos o termo FEP para denominar esta funcionalidade - ser capaz de estabelecer o túnel quando o cliente remoto se conecta. Tunelamento compulsório No caso da Internet, o cliente remoto faz uma conexão discada para um túnel habilitado pelo servidor de acesso no provedor (ISP). Tunelamento compulsório Por exemplo, uma companhia pode ter um contrato com uma ou mais provedores para disponibilizar um conjunto de FEPs em âmbito nacional. Tunelamento compulsório Estas FEPs podem estabelecer túneis sobre a Internet para um servidor de túnel conectado à rede corporativa privada, possibilitando a usuários remotos o acesso à rede corporativa através de uma simples ligação local. Tunelamento compulsório Esta configuração é conhecida como tunelamento compulsório porque o cliente é compelido a usar um túnel criado pelo FEP. Uma vez que a conexão é estabelecida, todo o tráfego "de/para" o cliente é automaticamente enviado através do túnel. Tunelamento compulsório No tunelamento compulsório, o cliente faz uma conexão PPP. Um FEP pode ser configurado para direcionar todas as conexões discadas para um mesmo servidor de túnel ou, alternativamente, fazer o tunelamento individual baseado na identificação do usuário ou no destino da conexão. Tunelamento compulsório Diferente dos túneis individualizados criados no tunelamento voluntário, um túnel entre o FEP e o servidor de túnel pode ser compartilhado por múltiplos clientes discados. Tunelamento compulsório Quando um cliente disca para o servidor de acesso (FEP) e já existe um túnel para o destino desejado, não se faz necessária a criação de um novo túnel redundante. O próprio túnel existente pode transportar, também, os dados deste novo cliente. Tunelamento compulsório No tunelamento compulsório com múltiplos clientes, o túnel só é finalizado no momento em que o último usuário do túnel se desconecta. IPSEC – Internet Protocol Security O IPSec é um protocolo padrão de camada 3 projetado pelo IETF que oferece transferência segura de informações fim a fim através de rede IP pública ou privada. IPSEC – Internet Protocol Security Essencialmente, ele pega pacotes IP privados, realiza funções de segurança de dados como criptografia, autenticação e integridade, e então encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos. IPSEC – Internet Protocol Security As funções de gerenciamento de chaves também fazem parte das funções do IPSec. IPSEC – Internet Protocol Security Tal como os protocolos de nível 2, o IPSec trabalha como uma solução para interligação de redes e conexões via linha discada. Ele foi projetado para suportar múltiplos protocolos de criptografia possibilitando que cada usuário escolha o nível de segurança desejado. IPSEC – Internet Protocol Security Requisitos de segurança Autenticidade Integridade Confidencialidade IPSEC – Internet Protocol Security Para implementar estas características, o IPSec é composto de 3 mecanismos adicionais: AH - Autentication Header. ESP - Encapsulation Security Payload. ISAKMP - Internet Security Association and Key Management Protocol. IPSec em servidores Linux O Ipsec segue normas em projetos de VPN e é muito ultizado para vc fazer VPN entre servidores Linux e roteadores que prove serviços de VPN. Protocolos de Segurança para VPN IPSec (IP Security) SSL (Secure Sockets Layer) TLS (Transport Layer Secure) Segurança de Rede na camada de transporte com SSL/TLS SMTP HTTP SSL / TLS TCP / UDP IP FTP NNTP, ... Segurança de Rede na camada de rede com IPSec SMTP HTTP TCP / UDP IP / IPSec FTP NNTP, ... Construindo VPN com OpenVPN OpenVPN OpenVPN é uma ferramenta que implementa uma rede VPN segura, usando a camada de enlace ou a camada de rede, usando o padrão da indústria SSL/TLS. OpenVPN OpenVPN suporta métodos de autenticação para o cliente baseados sobre: certificados digitais, smart cards, username/password credentials. OpenVPN Permite acesso para um usuário ou permite uma política de controle de acesso específica de grupo, usando regras de firewall aplicadas à interface virtual VPN. OenVPN 2.0 OpenVPN 2.0 expande as capacidades de OpenVPN 1.x. Oferecendo um modo cliente/servidor escalável, permitindo múltiplos clientes para conectar a um único servidor OpenVPN sobre uma única porta TCP ou UDP. Pode-se construir ... Uma simples VPN como um gateway que pode manipular um único cliente. Estabelecer um gateway cliente/servidor VPN, escalável, usando uma X509 PKI (infra-estrutura de chaves públicas usando certificados e chaves privadas). Produtos SSL/IPSec SSL é o protocolo mais amplamente distribuído quando se trata de comércio eletrônico. Netscape e Internet Explorer suportam SSL. Windows 2000 / XP usam IPSec para contruir VPN. RSA : BSAFE Cripto-C/J (IPSec) e SSL-C/J Distribuições Linux : SSL para HTTP, FTP, SMTP, NNTP. Virtual Private Network em ADSL Objetivo O objetivo é mostrar de forma rápida e simples a configuração de uma VPN baseada em Linux utilizando o OpenVPN como ferramenta. Sendo que este é um software estável, simples de configurar, além de ser um projeto que está sempre em desenvolvimento. Exemplo de VPN Vamos considerar o caso de interligar as redes internas de uma empresa (matriz e filial), sendo que ambas se localizam em lugares diferentes e bem distantes. Exemplo de VPN Que cada empresa possui uma conexão ADSL rodando Linux como servidor e suas respectivas redes internas conforme o exemplo hipotético abaixo: Redes na empresa Matriz ADSL com IP 200.217.222.222 LAN com a classe 192.168.1.0/24 Filial ADSL com ip 200.141.64.33 LAN com a classe 192.168.2.0/24 Matriz e Filial Objetivo Nesta VPN, teremos como principal objetivo fazer com que qualquer máquina da rede interna da Matriz se conecte diretamente com qualquer máquina da rede interna da Filial (ou vice versa), deixando a impressão de que ambas as redes estão no mesmo meio físico. Instalando OpenVPN Antes de começar, devemos checar primeiramente se o driver TUN/TAP se encontra no kernel. Caso o mesmo não se encontre, precisaremos ativar esse driver dentro da opção "Network Device Support", conforme exemplo que segue: [*] Network device support ARCnet devices ---> < > Dummy net driver support < > Bonding driver support < > EQL (serial line load balancing) support <*> Universal TUN/TAP device driver support < > Ethertap network tap (OBSOLETE) < > General Instruments Surfboard 1000 Ethernet (10 or 100Mbit) ---> Ethernet (1000 Mbit) ---> [ ] FDDI driver support [ ] HIPPI driver support (EXPERIMENTAL) <*> PPP (point-to-point protocol) support < > SLIP (serial line) support Wireless LAN (non-hamradio) ---> Token Ring devices ---> [ ] Fibre Channel driver support < > Red Creek Hardware VPN (EXPERIMENTAL) < > Traffic Shaper (EXPERIMENTAL) Wan interfaces ---> Notas Não é abordado aqui, exemplos de compilação de kernel, bem como a configuração de conexão ADSL no Linux. Nas distros RedHat 9.0, Slackware 9.1, 10.0 e 10.1 não foi preciso mexer no kernel. Já na Slackware 9.0 tem-se que recompilar o kernel com suporte ao driver TUN/TAP. Pacote lzo-1.08 Baixe os pacotes lzo-1.08.tar.gz (biblioteca de compressão de dados) e o pacote openvpn-1.5.0.tar.gz. 1º Passo $ tar -xzvf lzo-1.08.tar.gz $ cd lzo-1.08 $ ./configure $ make $ su # make install Instalando OpenVPN 1.5.0 2º Passo $ tar -xzvf openvpn-1.5.0.tar.gz $ cd openvpn-1.5.0 $ ./configure $ make $ su # make install Pronto. O OpenVPN já está instalado em nosso sistema com suporte à biblioteca de compressão de dados. Agora só resta a configuração. Configurando a VPN na Matriz: O OpenVPN pode operar com 3 tipos de criptografia: Nenhuma criptografia (apenas o túnel), Criptografia com chaves estáticas (este caso). No modo TLS, em que as chaves são trocadas periodicamente. Configurando a VPN na Matriz: 1 - Execute os seguintes comandos: # mkdir /etc/openvpn Criamos o diretório onde estarão todos os arquivos de configuração. Configurando a VPN na Matriz: # openvpn --genkey -secret /etc/openvpn/chave Foi gerada uma chave de criptografia com o nome de chave (pode ser qualquer nome de arquivo) dentro do diretório /etc/openvpn. # cat /etc/openvpn/chave Só para visualizarmos o conteúdo da chave que geramos. # touch /etc/openvpn/matriz.conf Crie esse arquivo com o seguinte conteúdo: Configurando a VPN na Matriz: Arquivo criado ... # Usar como interface o driver TUN dev tun # 10.0.0.1 ip que será assumido na matriz # 10.0.0.2 ip remoto, ou seja, esse será o ip da filial ifconfig 10.0.0.1 10.0.0.2 # Entra no diretório onde se encontram os arquivos de configuração cd /etc/openvpn # Indica que esse túnel possui uma chave de criptografia secret chave Configurando a VPN na Matriz: Arquivo criado ... # OpenVPN usa a porta 5000/UDP por padrão. # Cada túnel do OpenVPN deve usar # uma porta diferente. # O padrão é a porta 5000 port 5000 Configurando a VPN na Matriz: Arquivo criado ... # Usuário que rodará o daemon do OpenVPN user nobody # Grupo que rodará o daemon do OpenVPN group nobody Configurando a VPN na Matriz: Arquivo criado ... #Usa a biblioteca lzo comp-lzo # Envia um ping via UDP para a parte # remota a cada 15 segundos para manter # a conexão de pé em firewall statefull # Muito recomendado, mesmo se você não usa # um firewall baseado em statefull. ping 15 # Nível de log verb 3 Configurando a VPN na Filial: A parte da instalação na filial é exatamente igual a da Matriz, é só seguir os passos descritos no tópico instalação. Já na parte de configuração, não muda muita coisa também, pois o maior trabalho é simplesmente copiar a chave que geramos na Matriz por um canal seguro até a filial. Configurando a VPN na Filial: # mkdir /etc/openvpn Execute os seguintes comandos. Criaremos o mesmo diretório de configuração na filial: # mkdir /etc/openvpn Copie a chave gerada na matriz para a filial com seguinte comando: # scp /etc/openvpn/chave ip_filial:/etc/openvpn Em seguida crie o arquivo de configuração chamado filial.conf: # touch /etc/openvpn/filial.conf Arquivo de configuração Crie esse arquivo com o seguinte conteúdo: # Usar como interface o driver TUN: dev tun # 10.0.0.1 ip que será assumido na matriz # 10.0.0.2 ip remoto, ou seja, esse será o ip da filial: ifconfig 10.0.0.2 10.0.0.1 # Indica onde está o ip da Matriz (essa é a única linha que acrescentamos # no arquivo de configuração da filial), o resto é tudo igual. remote 200.217.222.222 # Entra no diretório onde se encontram os arquivos de configuração cd /etc/openvpn # Indica que esse túnel possui uma chave de criptografia: secret chave # OpenVPN usa a porta 5000/UDP por padrão. # Cada túnel do OpenVPN deve usar # uma porta diferente. # O padrão é a porta 5000 port 5000 # Usuário que rodará o daemon do OpenVPN user nobody # Grupo que rodará o daemon do OpenVPN group nobody Usa a biblioteca lzo comp-lzo # Nível de log verb 3 # Envia um ping via UDP para a parte # remota a cada 15 segundos para manter # a conexão de pé em firewall statefull # Muito recomendado, mesmo se você não usa um firewall baseado em statefull. ping 15 # Nível de log verb 3 Inicie a conexão na filial com o seguinte comando: # openvpn --config /etc/openvpn/filial.conf daemon # ifconfig tun0 tun0 Link encap:Point-to-Point Protocol inet addr:10.0.0.2 P-t-P:10.0.0.1 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1255 Metric:1 RX packets:1383257 errors:0 dropped:0 overruns:0 frame:0 TX packets:1144968 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:10 RX bytes:82865921 (79.0 Mb) TX bytes:383951667 (366.1 Mb) Ok! Se aparecer algo assim, sua VPN, está configurada. Teste pingando de uma ponta a outra: # ping 10.0.0.1 PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data. 64 bytes from 10.0.0.1: icmp_seq=1 ttl=63 time=11.9 ms 64 bytes from 10.0.0.1: icmp_seq=2 ttl=63 time=6.09 ms 64 bytes from 10.0.0.1: icmp_seq=3 ttl=63 time=5.93 ms 64 bytes from 10.0.0.1: icmp_seq=4 ttl=63 time=8.15 ms 64 bytes from 10.0.0.1: icmp_seq=5 ttl=63 time=6.19 ms Se aparecer algo assim, sua VPN já esta funcionando. Agora só falta adicionarmos as rotas para as redes internas se enxergarem. Adicionando rotas Antes de adicionarmos as rotas, é necessário ativar o roteamento no kernel em ambas as pontas (Matriz e Filial). Execute os seguintes comandos na matriz e filial: # echo 1 > /proc/sys/net/ipv4/ip_forward Para adicionar a rota com destino a rede da Filial, execute de dentro do servidor da Matriz o seguinte comando: # route add -net 192.168.2.0/24 gw 10.0.0.2 Para adicionar a rota com destino a rede da Matriz, execute de dentro do servidor da Filial o seguinte comando: # route add -net 192.168.1.0/24 gw 10.0.0.1 Agora é só testar. Tente pingar de dentro de uma máquina da LAN da Matriz com destino a LAN da Filial. Lembrar também que temos que colocar toda a seqüência de comandos acima no rc.local de sua distro, para que a mesma carregue as configurações ao iniciar o sistema operacional.