Segurança em Sistemas de Comunicação 2013/2014 Trabalho Prático #2
Jorge Granjal – [email protected] 1
Segurança em Sistemas de Comunicação 2013/2014
TRABALHO PRÁTICO #2
Sistemas VPN com IPSec (OpenSwan) e OpenVPN 1. Objectivos • Configuração de sistemas VPN no Linux utilizando o IPSec (OpenSwan) e OpenVPN. • Configuração de túneis VPN utilizando o IPSec (OpenSwan). • Acessos de clientes (road warriors) VPN utilizando o OpenVPN. 2. Trabalho prático O cenário de testes a utilizar no trabalho prático encontra-se representado na Figura 1. O cenário considera uma organização que dispõe de duas Redes internas (Coimbra e Lisboa), que pretende interligar através da Internet de forma segura utilizando para o efeito um túnel VPN com IPSec. Por outro lado, os utilizadores da própria organização podem ligar-se à sua rede interna através de túneis VPN com OpenVPN. O cenário considera igualmente a existência de uma Autoridade de Certificação (AC), utilizada para identificar e autenticar dispositivos e utilizadores.
Rede internaCoimbra
InternetGateway VPN
Túnel VPN (OpenVPN)
Road warrior
Gateway VPN
Túnel VPN (IPSec)
Rede internaLisboa
Autoridade de Certificação
Figure 1 - Cenário do Trabalho Prático
Segurança em Sistemas de Comunicação 2013/2014 Trabalho Prático #2
Jorge Granjal – [email protected] 2
3. Requisitos de Configuração 3.1. Túnel VPN Lisboa/Coimbra com IPSec As duas redes internas da organização (Coimbra e Lisboa) deverão estar ligadas de forma segura através da Internet, utilizando para o efeito um túnel VPN IPSec. Para ativar este túnel iremos utilizar o OpenSWAN, considerando igualmente os seguintes requisitos: • A negociação de chaves deverá ser efetuada de forma automática, utilizando o protocolo
IKE (Internet Key Exchange) do IPSec.
• A autenticação (e respectiva autorização de criação de túneis IPSec) entre os gateways VPN de Coimbra e Lisboa deverá utilizar certificados X.509.
• Para que os certificados sejam considerados válidos, os gateways VPN deverão verificar
que os mesmos foram emitidos pela AC interna da organização e não foram entretanto revogados.
• O túnel VPN deverá permitir conectividade total entre as redes de Coimbra e Lisboa. 3.2. Acessos de clientes VPN com OpenVPN Os utilizadores da organização deverão poder ligar-se remotamente através de VPN à rede interna da organização. Dado suportar vários sistemas operativos, iremos utilizar o OpenVPN para este efeito, tendo em conta igualmente os seguintes requisitos: • A autenticação dos acessos (e respectiva autorização de criação dos túneis VPN) deve
recorrer igualmente a certificados X.509.
• A validação de certificados deve ocorrer nos clientes VPN (road warriors) e no gateway VPN de Lisboa. Para que um certificado seja considerado válido, deverá ter sido emitido pela AC interna da organização e não ter sido entretanto revogado.
• Após o estabelecimento do túnel VPN, os road warriors deverão dispor de acesso total às redes internas da organização (Coimbra e Lisboa).
3.3. Autoridade de Certificação privada Tal como referido anteriormente, todas as autenticações referentes ao estabelecimento de túneis VPN (com IPsec e com o OpenSwan) devem recorrer a certificados X.509. Neste contexto, pretende-se ativar uma AC privada, tendo em conta os seguintes objetivos:
Segurança em Sistemas de Comunicação 2013/2014 Trabalho Prático #2
Jorge Granjal – [email protected] 3
• Utilizar o OpenSSL para ativar/criar a AC privada (representada na forma de uma certificado e chave privada).
• Utilizar a AC privada para criar e gerir certificados respeitantes aos gateways VPN do cenário e aos utilizadores da organização.
• Permitir a revogação (cancelamento) de certificados já emitidos, operação que deverá ter reflexo nas autenticações que deles dependam.
Relatório O relatório a entregar deverá incluir a seguinte informação: • Alterações efectuadas a ficheiros de configuração para ativar os serviços VPN
anteriormente descritos.
• Procedimentos para criação da AC privada e dos respetivos certificados X.509. • Descrição dos testes efectuados para comprovar o correto funcionamento dos
mecanismos de segurança implementados. • Restante informação que achar relevante.
Notas importantes: • Não serão aceites relatórios sem PGP.
• Cada dia de atraso na entrega da Meta 1 e/ou Relatório final equivale a uma penalização
de 20% na classificação final do trabalho. • METAS DE ENTREGA:
Meta 1: 14/11/2013 (Ficheiros de configuração base do OpenVPN e do OpenSwan, criação da AC privada com o OpenSSL). Entrega final: 21/11/2013.
• Trabalho individual ou em grupos de 2 alunos
Segurança em Sistemas de Comunicação 2013/2014 Trabalho Prático #2
Jorge Granjal – [email protected] 4
Documentação de apoio: SSC, Texto de Apoio #5, “IPSec: VPN e Road Warriors” Gestão de Sistemas e Redes em Linux, Jorge Granjal, FCA 2010/2013, “Capítulo 16: Autoridades de Certificação” Gestão de Sistemas e Redes em Linux, Jorge Granjal, FCA 2010/2013, “Capítulo 21: Acessos Seguros com VPN” OpenSWAN, http://www.openswan.org OpenVPN, http://openvpn.net
Recommended