Documents

Configuração de Um Servidor VPN Com OpenVPN e Chave Estática [Artigo]

Description
OpenVpn
Categories
Published
of 8
All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
Related Documents
Share
Transcript
  CONFIGURAÇÃO DE UM SERVIDOR VPN COM OPENVPN E CHAVE ESTÁTICA  Autor: Magno Maguione <magno.linux at yahoo.com.br>Data: 03/08/2009 INTRODUÇÃO Esse artigo é o primeiro de uma série de três e trata da implementação de um servidor de VPN emseus vários aspectos de segurança e praticidade. Na primeira parte será abordado a configuraçãodo OpenVPN   com chaves estáticas. Na segunda parte será abordado a configuração comcertificados digitais e na terceira parte a configuração do servidor em modo bridge.  A forma mais simples de configurar o OpenVPN é utilizar chaves estáticas, onde é criado umarquivo de 2048 bits utilizado para criptografar os dados transmitidos pelo túnel, essa chaveoferece um nível de segurança mediano, devido a chave ser estática e seu algoritmo não mudar acada conexão, sempre há a possibilidade de um atacante descobrir a chave. A solução maissimples e viável seria trocas as chaves periodicamente fazendo com que essas tentativas deinvasão se tornem ineficazes. O OpenVPN é um dos softwares de código aberto mais utilizados e seguros para implementaçãode uma Virtual Private Network ou Rede Virtual Privada . Isto se deve ao fato de ser seguro,prático e de fácil implementação. Uma VPN tem muitas vantagens em ambientes corporativos ou até mesmo residenciais. Trata-sede uma forma de compartilhar arquivos, impressoras ou até mesmo um sistema de gestão deforma segura. Antigamente a única forma de interligar redes era utilizando link dedicados comendereços IP públicos, mas o valor da infra-estrutura muitas vezes não era justificável. Com oOpenVPN podemos interligar um número de filiais indefinidos, com custos relativamente baixos epodemos utilizar endereços IP públicos não fixos, utilizando o serviço de DNS dinâmico. Sabemosque nenhuma VPN é 100% segura, mas com os serviços bem configurados e um firewalltotalmente fechado os riscos de invasão são pequenos. Uma observação importante é que a VPN cria interfaces virtuais no servidor, sendo que estasinterfaces devem estar com endereço IP diferente dos da rede interna. A seguir mostrarei umesboço de como ficarão os endereços da rede interna e da VPN. No decorrer do artigo veremosque implementar uma VPN é uma tarefa simples, desde que fique bem entendido como é seufuncionamento. Lets go! Matriz:  eth0 - Velox com endereço DNS dinâmico: openvpn.no-ip.info;eth1 - 192.168.0.1 - rede interna;tun0 - 10.6.0.1 - endereço IP VPN.Filial:eth0 - Velox;eth1 - 192.168.1.1 - rede interna ;tun0 - 10.6.0.2 - endereço IP VPN.(http://static.vivaolinux.com.br/imagens/artigos/comunidade/vpn.jpg) INSTALANDO E CONFIGURANDO OPENVPN NA MATRIZ Primeiramente vamos fazer a instalação do OpenVPN na matriz: # apt-get install openvpn   Agora vamos acrescentar o módulo tun  dentro do arquivo  /etc/modules  para que ele sejacarregado no kernel a cada boot. O módulo tun é responsável pelas interfaces virtuais que oOpenVPN cria: # echo tun >> /etc/modules  Com o OpenVPN instalado e o módulo tun carregado no kernel, vamos à configuração. Acesse odiretório /etc/openvpn/, aqui dentro é onde serão criados os arquivos de configuração e a chaveestática.  A chave criada no servidor depois deve ser copiada para todas as filiais que se conectarão à VPN.Pode-se utilizar as chaves de duas formas, a primeira é utilizar uma única chave para todos osclientes e a segunda é utilizar uma chave para cada cliente, do ponto de vista de segurança o idealseria utilizar uma chave para cada cliente. No caso de um atacante conseguir obter uma daschaves, conseguirá somente se conectar a uma única filial e não a todas. Uma alternativa para  melhorar a segurança e tornar esses ataques ineficazes é fazer a troca das chavesperiodicamente.  Abaixo vamos criar a chave: # openvpn --genkey --secret chave.key   Agora vamos à configuração do OpenVPN: # vim matriz.conf  # Interface da VPNdev tun# Endereço IP servidor/filialifconfig 10.6.0.1 10.6.0.2# Protocoloproto udp# Porta VPNport 1194# Chave estáticasecret /etc/openvpn/chave.key # Monitoramento da conexão: primeiro número ping, segundo restart da vpn em segundoskeepalive 10 120 # Compressão de dadoscomp-lzo# Mantém a interface tun carregada quando a vpn é reiniciadapersist-tun# Mantém a chave carregada quando a vpn é reiniciadapersist-key # Caso o IP mude, o túnel continua estabelecidofloat# Nível do logverb 3  # Informações de status da conexãostatus /var/log/openvpn/matriz-staus.log # Arquivo de loglog-append /var/log/openvpn/matriz.log # Criando rotas up /etc/openvpn/rotas.up# Apagando rotasdown /etc/openvpn/rotas.downDepois de ajustar o arquivo de configuração criaremos os arquivos de log do OpenVPN, os logssão muito importantes para detectar algum erro de conexão, ver informações dos clientes, entreoutras informações. # mkdir /var/log/openvpn# touch /var/log/openvpn/matriz-status.log# touch /var/log/openvpn/matriz.log   Antes de iniciarmos a VPN vamos criar as rotas para acesso à filial, como vimos no esboço, oendereço da VPN é diferente do endereço da rede interna, a principio o servidor só conseguepingar no endereço IP do túnel da filial (10.6.0.2). Para o servidor e os micros da rede conseguirempingar e acessar os micros da filial, é preciso adicionar uma rota no servidor indicando aencaminhar os pacotes com destino a filial pelo túnel. Vamos criar dois arquivos dentro de /etc/openvpn/, um arquivo cria as rotas quando a VPN éiniciada e o outro arquivo apaga as rotas quando a VPN é parada. # vim rotas.up  route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.6.0.1 dev tun0 # vim rotas.down  route del -net 192.168.1.0 netmask 255.255.255.0 gw 10.6.0.1 dev tun0 Agora vamos iniciar a VPN:
Search
Tags
Related Search
We Need Your Support
Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

Thanks to everyone for your continued support.

No, Thanks
SAVE OUR EARTH

We need your sign to support Project to invent "SMART AND CONTROLLABLE REFLECTIVE BALLOONS" to cover the Sun and Save Our Earth.

More details...

Sign Now!

We are very appreciated for your Prompt Action!

x