180 likes | 374 Views
VTun VPN. VPN – Virtual Private Network Tunnelointi Autentikointi Salaus. VTun käyttökohteet. Yhteydet julkisen verkon yli kahden työaseman välillä työaseman ja lähiverkon välillä lähiverkkojen välillä Suojatut yhteydet sisäverkossa Langattomat lähiverkot. Toimintaperiaate.
E N D
VTun VPN • VPN – Virtual Private Network • Tunnelointi • Autentikointi • Salaus
VTun käyttökohteet • Yhteydet julkisen verkon yli • kahden työaseman välillä • työaseman ja lähiverkon välillä • lähiverkkojen välillä • Suojatut yhteydet sisäverkossa • Langattomat lähiverkot
Toimintaperiaate • Avoimen lähdekoodin sovellus • Kehitetty Linuxiin, mutta toimii FreeBSD:ssä, sen eri klooneissa ja Solariksessa • Toimii käyttäjätasolla • Tukee eri tunnelointityyppejä • Sarjaliikenne - PPP (Point to Point Protocol) • Ethernetin päällä ajettavia protokollia: IP, IPX, Appletalk, Bridge • Unixin pipe-tunneli
Toimintaperiaate ( jatkuu) • VTun-prokollaa voidaan ajaa joko TCP:n tai UDP:n päällä • Yhteys muodostetaan asiakas- ja palvelinsovelluksen välille
Ominaisuudet • Liikenteen rajoitus • voidaan määritellä molempiin suuntiin erikseen. • pienin nopeus 8 kbit/s, seuraavat portaat 16, 32, 64, 128, 258 jne… • Datan pakkaus • zlib – tehokas, tukee ainoastaan TCP-liikennettä • lzo – nopea, tukee TCP- ja UDP-liikennettä
Ominaisuudet (jatkuu) • Autentikointi • haastevastaus-menetelmällä, 128 avain MD5-hash-funktiolla salasanasta • Salaus • 128-bittisellä Blowfish-salausalgoritmilla ECB-moodissa
Tietoturva • Ongelmia • pakettien muuntaminen • uudelleenlähetys • salauksen purku liikennettä seuraamalla • matalan entropian salasana
Vaihtoehdot • IPsec (IP Security Architecture) • IETF standardi, RFC 2401 • FeeS/Wan • PPTP (Point to Point Tunneling Protocol, RFC2637) • L2F ( Layer 2 Forwarding, Cisco, RFC2341) • L2TP (Layer 2 Tunneling Protocol)
Amrita VPN CIPE FreeS/WAN HTun l2tpd OpenS/WAN OpeVPN Poptop GVPE Yavipin tinc Vaihtoehdot ( jatkuu ) Avoimen lähdekoodin VPN-sovelluksia
Asennus • Tarvittavat paketit • VTun 2.6-4, tunnelointisovellus • zlib 1g –dev 1:1.2.3-11, sisältää LibSSL –dev 10.9.8 paketin liikenteen salaukseen • tun –source 1.1-7, virtuaalinen verkkolaite
Asennus ( jatkuu ) • VTun-asennus • tar xvzf vtun-2.6.tar.gz (VTun-paketin purku) • cd vtun (siirrytään asennushakemistoon) • ./configure --disable Zlib --disable lzo (paketin configurointi ilman Zlib- ja lzo-kirjastoa) • make install (paketin kääntö ja asennus)
Asennus ( jatkuu ) • TUN-ajurin asennus • tar xvzf tun-1.1.tar.gz (VTun-paketin purku) • cd tun-1.1 (siirrytään asennushakemistoon) • ./configure (paketin configurointi ilman Zlib- ja lzo-kirjastoa) • make install (paketin kääntö ja asennus) • modpro tun (TUN-ajurin lataus) • OpenSSL-kirjasto • apt-get install libssl-dev (SSL-kirjaston asennus)
Konfigurointi Client – lähiverkot9 options { port 5000; (kuunnellaan porttia 5000) ifconfig /sbin/ifconfig (polku ifconfig-komennolle) } default { (yleiset asetukset) compress no; (ei käytetä pakkausta) speed no; (ei rajoiteta nopeutta) } jukka { (yhteyden nimi) passwd linuxharkka; (yhteyden salasana) up { ifconfig ”%% 10.3.0.2 pointopoint 10.3.0.1 mtu 1450”; }; }
Konfigurointi Palvelin – lähiverkot4 options { port 5000; (kuunnellaan porttia 5000) ifconfig /sbin/ifconfig (polku ifconfig-komennolle) } default { (yleiset asetukset) compress no; (ei käytetä pakkausta) speed no; (ei rajoiteta nopeutta) } jukka { (yhteyden nimi) passwd linuxharkka; (yhteyden salasana) typet tun; (IP-tunneli) proto udp; (protokollana UDP) encrypt yes; (käytetään salausta) keepalive yes; (lähetetään määrävälein paketteja, jotta verkon ylläpitäjä ei sulje yhteyttä) up { ifconfig ”%% 10.3.0.1 pointopoint 10.3.0.2 mtu 1450”; }; }
VTun käynnistäminen • VTun-palvelin • Komento: vtund –s • Client-sovellus • Komento: vtund jukka 192.168.1.14 • Käytössä olevat verkkorajapinnat • komento: ifconfig
VTun testaaminen • Liikennettä ping-ohjelmalla • Liikenteen kuuntelu tcpdump-ohjelmalla • Liikenteen seuranta lähiverkot8-koneella • Komennolla: tcpdump dst host 192.168.1.14
Ylläpito • Määrittelytiedostoa muokkaamalla • Pakkaukseen ja nopeuden rajoittamiseen liittyvät määrittelyt • Salasanan vaihto • Uudet yhteydet
Yhteenveto • Yksinkertainen ja edullinen • Toimii useilla eri alustoilla • Palvelut • salaus • pakkaus • siirtonopeuden rajoittaminen • Tietoturvassa heikkouksia