IT infrastruktuuri teenused VPN - Virtual Private Network Margus Ernits margus.ernits@itcollege.ee 1
Kuidas kasutada sisevõrgus resideeruvaid teenuseid ebaturvalise võrgu kaudu? Teeme teenused igalt poolt ligipääsetavaks... Probleem Turvalisus kannatab, kuna iga teenuse konkreetseid nõrkuseid saab siis üle Interneti kasutada Teeme turvalise kanali oma arvutist (või võrgust) firma sisevõrku Vahel pole ka sisevõrku olemas ja iga arvuti ühendub firma andmekeskustega kasutades turvalist kanalit VPN Virtual Private Network 2
VPN ülevaade Üldine toimimine Kasutaja 1 Kasutaja ühendub Interentti Tulemüür 4 VPN lüüs autendib kasutaja VPN lüüs 2 Kohalik marsruuter annab IP ja DNS aadressid 3 Kasutaja käivitab VPN kliendi Kasutaja arvuti saab uue nimeserveri ja lüüsi/võrgu aadressid Sisevõrgu teenused Kasutaja saab ligi sisevõrgu teenustele 3
Viimasel ajal on VPN järjest olulisem, kuna keelatakse kirjade saatmine suvalistest masinatest SPF Sender Policy Framework SPAM Kirjeldab ära lubatud saatjad (domeeni SMTP serverid) DNS kirjena 4
Lappamine ja viirusetõrje VPN lahendused võimaldavad firma liikuvate masinate üle rangemat kontrolli Et oleks paigad peal Et oleks viimane viirusetõrje peal Tegu on küll represseerimisega, kuid suurtes võrkudes tihti muud moodi ei saa 5
DMZ ja firma sisevõrk DMZ Demilitariseeritud tsoon kahe tulemüüri vahel Kaasajal on parem eeldada, et see on tuletsoon kus käib kõige hullem madin. Firma sisevõrk Võrk, millele rakendatakse reeglina nõrgemaid turvanõudeid See on jama, kuna tihti toimub enamus ründeid sisevõrgust Sisevõrku lastud viirused võivad firma IT süsteemid halvata 6
Üks lahendus Ettevõte ilma sisevõrguta On serveriruum, mis on eraldatud tulemüüriga välismaailmast. Kõik kliendid lähenevad sisevõrgu teenustele kasutades VPN'i Välisvõrgu klient Avalikud teenused Siseteenused Sisevõrgu klient VPN siseteenuste jaoks VPN GW Lapiserver Viirusetõrje uuendused 7
VPN VPN võrke annab realiseerida mitmel moel Kuid üldiselt VPN Kasutab virtuaalseid liideseid, mis ühendavad erinevaid võrke Kõik võrkude vahel liikuvad paketid krüpteeritakse Paketid kapseldatakse reaalsete liideste pakettide sisse (näiteks IP paketid krüpteeritakse ja kapseldatakse UDP pakettide sisse) 8
VPN VPN laadse teenuse saamise võimalusi on palju Näiteks ssh tunnelid SSH Tectia lahendused, kus tunneldatakse, kui saab Erinevaid VPN lahendusi on mitmeid IPSec Levinud ja IPv6 osa OpenVPN Levinud. Aastaid tagasi vaevles krüpto nõrkuse ja muude turvaprobleemide käes Riistvaralised kastid (tegelikult jookseb seal ikkagi tarkvara) Kommenrts VPN lahendused Paljude võimaluste ja rohkearvuliste vigadega 9
IPSec IPSec esimesed realisatsioonid 1995 Krüpto iga IP pakett krüpteeritakse ja autenditakse Kernel space Tegutseb IP ruumis ja seega sobib kõigi kõrgemate ISO tasemete pakettide krüpteerimiseks IPv6 sisaldab IPSec'i alamosana Saab kasutada VPN ühenduste loomisel IKE - Internet key exchange ja IKEv2 (vähem DoS võimalusi) 10
OpenVPN Tasuta ja Open Source VPN lahendus Autendib osapooli sertifikaatide, jagatud võtmete või kasutajanimede/paroolide abil UDP (võib ka TCP) transport Port 1194 LZO pakkimine 11
TUN/TAP TUN virtuaalne võrguliides näib operatsioonisüsteemile nagu punkt-punkt ühendus TAP virtuaalne võrguliides, mis emuleerib etherneti liidest Rakenduste jaoks on tegu failidega, kuhu IP pakette saab kirjutada ja kust saab lugeda TUN/TAP pihta suunatud liiklus kapseldatakse päris liideste abil UDP või TCP liikluseks 12
Kapseldamine ja krüpteerimine Virtuaalsete liideste abil me kapseldama näiteks IP/TCP(TAP) TCP(eth0) sisse Tegu ongi virtuaalse võrguga, kuna rakendus näeb ühes TAP liidesest teises võrgus asuvat TAP liidest TCP kapseldaine TCP sisse pole just kõige mõttekam ja raiskab andemahtu. Levinud on TCP kapseldus UDP sisse Lisaks kapseldamisele on vaja liiklus krüpteerida 13
Kapseldamine OpenVPN puhul Kapseldamine ja virtuaalsed liidesed Rakendus saadab IP paketi virtuaalse liidese suunas TUN/TAP VPN tarkvara VPN krüpteerib paketi ja kapseldab selle reaalse etherneti liidese paketiks TUN/TAP Krüpteeritud ja kapseldatud paketid VPN tarkvara Ethernet liides Ethernet liides 14
PPTP PPTP - Point-to-Point Tunneling Protocol Microsoft VPN, mille kliente ja servereid on implementeerinud ka teised tootjad PPP Point to Point Protocol Kapseldatud GRE - Generic Routing Encapsulation sisse Autentimine - Microsoft MSCHAP-v2 (kuulutatud nõrgaks) või EAP - Extensible Authentication Protocol 15
Linux klient ja Windows Server Meil on kasutusel Exchange 2007 Saatmine on SSL/TSL abil krüpteeritud Saatja autenditakse Windows VPN Windows põhine autentimine 16
Seega... Ubuntu/Kubuntu Installeeri VPN klient sudo apt-get install network-manager-pptp Kui kasutad KDE keskkonda, siis installeeri nm-applet, kuna KDE KNetworkManager ei oska pptp VPN konfi tekitada (väike viga ühes stringis) sudo apt-get install nm-applet Restardi nm-applet killall nm-applet nm-applet 17
Seadista VPN Vali nm-applet ikooni peal VPN Connections Configure VPN Add, Forward Connection Type PPTP Tunnel Sisesta lüüsi aadress Autentimise sakilt 18
DNS DNS on ITK sisevõrgul oma ja sisaldab sisevõrgu aadresse. E-post süsteemi kasutamiseks tuleb VPN konfiguratsioonis määrata, et kasutataks sisevõrgu DNS serverit Use peer DNS x 19
Ketaste kasutamine Ärge kasutage NFS'i Pole turvaline (ei saa kasutada NFSv4, kuna server on Solaris ja klient Linux) Sureb pidevalt Kasutage smb:// fish:// (KDE all) 20
Küsimused? Küsimused? 21
VPN Wikipedia http://en.wikipedia.org/wiki/vpn Terminid http://linas.org/linux/vpn.html NAT traversal http://en.wikipedia.org/wiki/nat_traversal Lisalugemist 22
Tänan! Tänan 23