OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 1 / 16



Podobné dokumenty
OpenVPN a dynamické směrování

OpenVPN. Ondřej Caletka.

Josef Hajas.

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

WireGuard. nová a jednoduchá linuxová VPN. Petr Krčmář. 3. listopadu 2018

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Demo: Multipath TCP. 5. října 2013

Ochrana soukromí v DNS

Úvod do síťových technologií

Bezpečnost vzdáleného přístupu. Jan Kubr

Technická specifikace zařízení

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Desktop systémy Microsoft Windows

VPN - Virtual private networks

Desktop systémy Microsoft Windows

Semestrální projekt do předmětu SPS

VLSM Statické směrování

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

IPv6 tunely pomocí OpenVPN

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

TheGreenBow IPSec VPN klient

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

X36PKO Úvod Protokolová rodina TCP/IP

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

VLSM Statické směrování

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

IPv6 v OpenWRT. Ondřej Caletka. 5. října Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

SSL Secure Sockets Layer

Počítačová síť TUONET a její služby

Praktikum Směrování Linux

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

RadSec a IPsec. metody zabezpečeného připojení k národnímu RADIUS serveru. Jan Tomášek <jan.tomasek@cesnet.cz> CESNET, z. s. p. o.

Střední průmyslová škola, Mladá Boleslav, Havlíčkova 456 Maturitní otázky z předmětu POČÍTAČOVÉ SÍTĚ

Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Jak funguje SH Síť. Ondřej Caletka

Podsíťování. Počítačové sítě. 7. cvičení

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

SPS Úvod Technologie Ethernetu

Jak se měří Internet

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

XMW3 / IW3 Sítě 1. Štefan Pataky, Martin Poisel YOUR LOGO

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

Y36SPS Jmenné služby DHCP a DNS

e1 e1 ROUTER2 Skupina1

Přidělení parametrů projektu návrhu sítě skupinám studentů

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

Dodávka UTM zařízení FIREWALL zadávací dokumentace

POČÍTAČOVÉ SÍTĚ 1. V prvním semestru se budeme zabývat těmito tématy:

Obsah. O autorech 9. Předmluva 13. KAPITOLA 1 Počítačové sítě a Internet 23. Jim Kurose 9 Keith Ross 9

Analýza protokolů rodiny TCP/IP, NAT

Úvod do OpenWRT. Ondřej Caletka. 1. března Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

MPLS MPLS. Label. Switching) Michal Petřík -

PB169 Operační systémy a sítě

Počítačové síťě (computer network) Realizují propojení mezi PC z důvodu sdílení SW (informací, programů) a HW(disky, tiskárny..)

1. Směrovače směrového protokolu směrovací tabulku 1.1 TTL

JAK ČÍST TUTO PREZENTACI

Směrovací protokoly, propojování sítí

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Implementace protokolů IPSec na OS Linux, FreeS/WAN. Martin Povolný

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Komunikační napojení účastníků na centrální depozitář cenných papírů

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

A7B36PSI Úvod 1/29. Jan Kubr. Honza Kubr - 1_uvod

Jak se měří Internet

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Zajímavé funkce OpenSSH

X36PKO Úvod Jan Kubr - X36PKO 1 2/2006

Přepínaný Ethernet. Virtuální sítě.

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Projekt VRF LITE. Jiří Otisk, Filip Frank

Komunikace v sítích TCP/IP (1)

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

íta ové sít TCP/IP Protocol Family de facto Request for Comments

Dual-stack jako řešení přechodu?

Směrování. static routing statické Při statickém směrování administrátor manuálně vloží směrovací informace do směrovací tabulky.

X36PKO Jiří Smítka

NAS 323 NAS jako VPN Server

54Mbps bezdrátový router WRT-415. Návod pro rychlou instalaci

Bezpečnostní projekt Případová studie

Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc

Osobní firewall s iptables

Průmyslová komunikace přes mobilní telefonní sítě. Michal Kahánek

STRUČNÝ NÁVOD K POUŽITÍ

Virtualizace síťových prvků

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

Identifikátor materiálu: ICT-3-03

Počítačové sítě. Miloš Hrdý. 21. října 2007

Průvodce rodinou produktů 3Com OfficeConnect

Y36SPS Bezpečnostní architektura PS

Relační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.

Transkript:

OpenVPN Ondřej Caletka 3. března 2013 Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 1 / 16

Virtuální privátní sítě Vytvoření privátní sítě nad veřejnou infrastrukturou. Například propojení privátních lokálních sítí prostřednictvím veřejné sítě Internet. (Site-to-site VPN) Nebo připojení pracovní stanice na cestě do privátní organizace. (Road warrior VPN) Dvě základní komponenty VPN: šifrování tunelování Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 2 / 16

Internet Protocol Security (IPsec) Způsob zabezpečení TCP/IP protokolu podle IETF. Vyvinut pro IPv6, portován do IPv4. Šifrování a autentizace od transportní vrstvy výše. Transportní i tunelovací režim. Nové protokoly pro výměny klíčů. Problémy s NATy a firewally. Jeho čas ještě přijde. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 3 / 16

OpenVPN Idea: Použít lety prověřenou mezivrstvu TLS (dříve SSL) namísto IPsec. Do TLS proudu se namísto aplikačních dat zapouzdřuje tunelovaný sít ový provoz. Používá jeden UDP nebo TCP port. Přátelský k NATům a firewallům. Režim point-to-point, nebo point-to-multipoint. Použití TLS je volitelné. Špatná podpora IPv6 (do verze 2.2) Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 4 / 16

Princip OpenVPN aplikace /dev/net/tun read() TLS OpenVPN sendto() userspace kernelspace tap0 TCP/IP stack eth0 Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 5 / 16

Konfigurační volby UDP nebo TCP? Pro správnou funkci je nutné UDP. Použití TCP vede k TCP-in-TCP problému. TCP se dá používat jen na kapacitních linkách. TUN nebo TAP? Rozhraní tap představuje virtuální ethernet. Tun je efektivnější, ale umí jen IPv4 a IPv6. V případě multipoint režimu obsahuje OpenVPN bud switch (tap), nebo router (tun). Androidí klienti bez root oprávnění umějí jen tun. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 6 / 16

Zapojení VPN do sítě Bridged VPN VPN je přímo propojena s fyzickým segmentem. Fungují všechny protokoly. Šíří se broadcasty. Je třeba použít tap rozhraní. Routed VPN Pro VPN slouží samostatný segment. Přenáší mezi fyzickou sítí a VPN je router. Lepší možnosti firewallingu. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 7 / 16

Point-to-point VPN # openvpn --dev tap --remote node2.example.com 1194 # openvpn --dev tap --remote node1.example.com 1194 Také je možná varianta server-klient (pro NATy): # openvpn --dev tap # openvpn --dev tap --remote server.example.com --nobind Výše uvedené příklady nepoužívají šifrování. Pro PSK šifru vygenerujeme klíč: # openvpn --genkey --secret /path/to/secret.key Klíč přeneseme na obě strany a ke všem příkazům přidáme přepínač --secret. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 8 / 16

TLS režim Oba účastníci vlastní X.509 certifikát a klíč. Také mají certifikát CA, která vydala účastnické certifikáty. Pomocí certifikátů si účstnící navzájem prokáží totožnost. Sdílený klíč se automaticky mění. Není třeba používat pravé certifikáty od komerčních autorit. Ostatně nechcete do sítě pouštět všechny majitele platných certifikátů. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 9 / 16

Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 10 / 16

Easy-RSA Součástí OpenVPN je balík skriptů, které maximálně zpříjemnňují práci s X.509 certifikáty pro potřeby OpenVPN. https://github.com/openvpn/easy-rsa $ cd /path/to/easy-rsa $ source vars $./clean-all $./build-ca $./build-key-server vpnserver.example.com $./build-dh $./build-key roadwarrior1 Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 11 / 16

Multipoint TLS VPN Konfigurace serveru dev tap server 10.20.30.0 255.255.255.0 dh /path/to/dh1024.pem ca /path/to/ca.pem cert /path/to/server.example.com.crt key /path/to/server.example.com.key Konfigurace klienta dev tap client remote server.example.com 1194 udp ca /path/to/ca.pem cert /path/to/roadwarrior1.crt key /path/to/roadwarrior1.key ns-cert-type server Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 12 / 16

Remote provisioning VPN koncentrátor dokáže posílat příkazy klientům: --push "redirect-gateway def1" Přidělí adresy, DNS, nastaví směrování. Možnost vynutit přesměrování default GW. Přesměrování brány 1 Je přidána host route směrem k VPN koncentrátoru. 2 Původní brána je nahrazena nebo překryta VPN. Co se stane, když spadne fyzické rozhraní, kterým prochází VPN provoz? Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 13 / 16

Další možnosti Je možné nastavit keepalive pro udržování NATu a detekci nefunkčnosti. Server může dodatečně autentizovat klienty jménem a heslem. Server udržuje seznam přidělených adres a CN z certifikátů. Je možná speciální konfigurace pro klienta (například přidání směrovacího záznamu pro site-to-site VPN) Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 14 / 16

Pozvánka na workshop Postavíme P2P VPN mezi dvojicemi PC. Rozjedeme dynamické směrování s OSPF. Pokusíme se vytvořit co nejdelší traceroute. :) Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 15 / 16

Závěr Děkuji za pozornost. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 16 / 16

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář