Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

VPN Virtual Private Network ● A virtuális magánhálózat az Interneten keresztül kiépített titkosított csatorna. ● http://computer.howstuffworks.com/vpn.htm ●

Helyi hálózatok tervezése és üzemeltetése

1

Előnyei

Kiterjeszti a földrajzi kapcsolódást ● Növeli a biztonságot ● Csökkenti a távoli kapcsolódás költségét ● Egyszerűsíti a hálózati topológiát ● Tunneling: egy bizonyos protokollba beágyazunk egy másik protokollt ●


2

VPN protokollok Point-to-Point Tunneling Protocol (PPTP): Az RFC 2637-ben definiált alagútprotokoll, amely MPPE (Microsoft Point-to-Point Encryption) titkosítással működik. ●

Layer 2 Tunneling Protocol (L2TP): Az L2TP protokoll specifikációját az RFC 2661-ben találjuk. Maga az L2TP protokoll saját titkosítást nem tartalmaz, ezért a virtuális magánhálózatot az „L2TP over IPSec”, azaz az IPSec titkosítással segített L2TP kapcsolat valósítja meg. ●


3

A titkosított csatorna felépítése előtt egyeztetni kell A titkosítási algoritmust (DES, 3DES) ● Az integritást biztosító (hash) algoritmust (SHA1, MD5) ● Az authentikáció módját (Kerberos, PKI Certificate, szöveges) ● Az első közös kulcs létrehozásához szükséges DiffieHellman (DH) biztonsági üzemmódot (DH group) ● A kulcsok automatikus cseréinek szabályait (Eltelt idő vagy átvitt forgalom alapján) ●


4

PPTP Előnye ● A könnyű kliensoldali telepíthetőség, rugalmasság. ● A kapcsolat NAT-olhatósága, vagyis egy címfordítást végző tűzfalon is átvihető a tunnel. ● Az első VPN protokoll, amit támogatott a MS. Hátránya ● Az összeköttetés biztonságának alacsony szintjét - akár 128 bites titkosítást is képes kezelni Helyi hálózatok tervezése és üzemeltetése

5

IPSec A Hitelesítési fejléc (Authentication Header, AH) használatával megakadályozzuk, hogy az illetéktelenek meghamisítsák az IP csomagok fejlécét. ● A hasznos adat biztonságos becsomagolása (Encapsulated Security Payload, ESP) ● Windows-on beállítani „rémálom” ● http://unixwiz.net/techtips/iguide-ipsec.html ●


6

IPSec üzemmódok AH: Authenticated Header ● NEM titkosított forgalom ● Digitális aláírás biztosítja a csomagok módosíthatatlanságát ● IP Protocol ID: 51 ESP: Encapsulated Security Payload (Transport) ● Titkosított forgalom ● Önmagában is biztosítja az integritást, de kombinálható az AH-val is ● IP Protocol ID: 50 IPSec Tunneling (Tunnel) ● Nem ez a "hivatalos" W2K VPN protokoll ● Ebben a módban a csomagok új IP fejlécet kapnak (ezért tunneling) ● Használatához mindkét irányhoz definiálnunk kell a házirendeket, és megadni (a kimenő szabályban) a csatorna túloldali, valamint (a bejövő szabályban) a csatorna helyi IP címét Helyi hálózatok tervezése és üzemeltetése

7

IPSec AH Transport Mode


8

IPSec AH Tunnel Mode


9

IPSec ESP Transport Mode


10

IPSec ESP Tunnel Mode


11

OpenVPN Virtuális hálókártyák (TUN/TAP device) ● TAP – Layer 2, network bridge ● TUN – Layer 3, routing ● Egyetlen TCP vagy UDP portot használ, az UDP a preferált ● NAT / Proxy / firewall ● LZO compression ● OpenSSL támogatás ● http://openvpn.net/ ●


12

Kulcs generálás A VPN tunnel-ünk egy ún. statikus kulcsú (preshared key- előre megosztott kulcs) tunnel lesz. Ehhez létre kell hoznunk egy kulcsot, amellyel a tunnel két végpontja azonosítja egymást. openvpn --genkey --secret static.key


13

A szerver beállítása # Use a dynamic tun device. dev tun0 # 10.1.0.17 is our local VPN endpoint (office). # 10.1.0.18 is our remote VPN endpoint (home). ifconfig 10.1.0.17 10.1.0.18 # Our pre-shared static key secret static.key Helyi hálózatok tervezése és üzemeltetése

14

A szerver beállítása # OpenVPN uses UDP port 1194 by default. port 1194 # LZO compression comp-lzo


15

A kliens beállítása # Change 'myremote' to be your remote host, # or comment out to enter a listening # server mode. remote 82.150.62.34 # Uncomment this line to use a different # port number than the default of 5000. port 1194


16

A kliens beállítása # Choose one of three protocols supported by # OpenVPN. If left commented out, defaults # to udp. ; proto [tcp-server | tcp-client | udp] # Enable 'dev tap' or 'dev tun' but not both! dev tun


17

A kliens beállítása # This is a 'dev tun' ifconfig that creates # a point-to-point IP link. tun-mtu 1500 ifconfig 10.1.0.18 10.1.0.17 secret static.key # enable LZO compression comp-lzo


18

A kliens indítása

openvpn --config client.ovpn route add 10.0.0.0 mask 255.255.255.0 10.1.0.17 -p


19

Ötletek rossz ötlet engedélyezni olyan kliensek csatlakozását, amelyeket nem védi legalább szoftveres tűzfal és vírusvédelmi program ● rossz ötlet a tanusítványokban client1..client2..client3..stb nevezni a klienseket ● rossz ötlet mindenkinek engedélyezni a VPN használatát ● jó ötlet a felhasználókat nyilvántartani (e-mail, hányas kliens, mettől-meddig érvényes a kulcsa, melyik részlegben dolgozik, mit csinál, mit használ, hálózati eszköz MAC címe) ● jó ötlet az iptablessel a MAC címeket szűrni ●


20

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

Recommend Documents