Trabalho Elaborado por: Ricardo Nuno Mendão da Silva ...rnsilva/VPN_RoadWarriors.pdf · aceder aos certificados, eis que se procedeu à criação de uma nova ligação. Em: Start

Trabalho Elaborado por: Ricardo Nuno Mendão da Silva [email protected]

Jorge Miguel Morgado Henriques [email protected]

mailto:[email protected]

mailto:[email protected]

Ligação de Road Warriors Windows XP a Gateways VPN Linux

Ricardo Nuno Mendão da Silva & Jorge Miguel Morgado Henriques 2



Índice

1. Introdução ............................................................................................................................ 4

2. Objectivos ............................................................................................................................. 5

3. Configuração do gateway VPN ............................................................................................. 5

Criação da CA e certificados ...................................................................................................... 5

Configuração Openswan ........................................................................................................... 6

Configuração L2TP/PPP ............................................................................................................. 7

4. Configuração do cliente Windows ...................................................................................... 10

5. Testes .................................................................................................................................. 16

6. Conclusão ........................................................................................................................... 27

7. Bibliografia .......................................................................................................................... 27



1. Introdução

Com a evolução de todo o mercado empresarial acompanhado pelas novas tecnologias, existiu desde cedo a necessidade das empresas partilharem de uma rede local, entre as diferentes sedes que a constituem, ou ainda permitir que um funcionário ou um cliente possa sempre que necessário, aceder à rede interna dessa mesma empresa. Com o tal surgiram as VPN’s, Virutal Private Networks, permitindo que seja possível realizar as situações descritas, através de uma rede pública, não segura, como a Internet, utilizando protocolos específicos que estabeleçam todas as regras necessárias à segurança e bom funcionamento do sistema. Como tal, é necessário que a empresa em questão contenha um servidor VPN em cada sede, perm itindo a ligação entre sedes ou entre um cliente “Road W arrior” e um a das sedes. Para implementar este cenário, eis que surge o IPSec, constituido por três protoclos permitindo a encriptação e autenticação ao nível da camada IP, tornando-se uma mais valia, pois estabelece um canal seguro para qualquer tipo de comunicação que ocorra nas camadas superiores. Os protocolos que o constituem são nomeadamente, o AH – Authentication Header, que permite a autenticação dos pacotes IP, o ESP – Encapsulation Security Payload, que permite encriptar e autenticar os pacotes IP, e por último o IKE – internet key exchange, que permite negociar os parâmetros necessários ao estabelecimento da ligação, nomeadamente os dados de autenticação de ambas as partes.

No caso de o túnel VPN ser estabelecido entre um cliente e um gateway, tipo Road Warrior, normalmente o cliente utiliza o Sistema Operativo Microsoft Windows XP, o que obriga o servidor a implementar o protocolo L2TP, que correrá em cima do IPSec. Ainda em cima do L2TP, corre o protocolo de ligação ponto a ponto PPP que transporta os dados das aplicações. O L2TP permite definir vários parâmetros, conseguindo fazer com que o cliente ao se ligar remotamente à sede por VPN, receba um IP local e funciona completamente como se de uma máquina local tratasse.

Neste relatório irão ser descritos todos os passos efectuados para a configuração de um servidor VPN com IPSec e L2tp/PPP e de um cliente Windows (road Warrior). Irão ser descritos e demonstrados, todos os testes efectuados.



2. Objectivos

Pretende-se com este trabalho configurar um Gateway VPN com IPSec e L2TP/PPP sobre a plataforma Linux. Pretende-se ainda ligar um Road Warrior Windows XP ao gateway configurado, utilizando o cliente VPN nativo do Windows.

3. Configuração do gateway VPN

Criação da CA e certificados

Para iniciar toda a configuração pedida, foi necessário criar uma Autoridade de Certificação e através desta criar um certificado para o gateway e um certificado para o cliente. Para tal utilizaram-se os conceitos adquiridos durante a realização de trabalho 1 desta mesma cadeira o que resultou no seguinte:

Comando para a criação da chave rsa: Openssl genrsa –out private/ssc_tp3.key 1024

Comandos para a criação da CA privada: Openssl req –new –key private/ssc_tp3.key –out ssc_tp3.csr Openssl x509 –req –days 365 –in ssc_tp3.csr –out ca_ssc_tp3.crt –sgnkey private/ssc_tp3.key

Comandos para a criação dos certificados para o gateway e o cliente: Openssl req –new –key private/ssc_tp3.key –out cliente_tp3.csr Openssl ca –in cliente_tp3.csr –cert ca_ssc_tp3.crt –keyfile private/ssc_tp3.key –out cliente_tp3.crt Openssl req –new –key private/ssc_tp3.key –out gateway_tp3.csr Openssl ca –in gateway_tp3.csr –cert ca_ssc_tp3.crt –keyfile private/ssc_tp3.key –out gateway_tp3.crt

Comando utilizado para converter os certificados para o PKCS#12 Openssl pkcs12 –export –clcerts –in cliente_tp3.crt –inkey private/ssc_tp3.key –out cliente_tp3.p12

Comando para criar a lista de revogações requerida no arranque do ipsec

Openssl ca –gencrl –out /etc/ipsec.d/crls/updt.crl



Configuração Openswan

Para efectuar a configuração do openswan, foi alterado o ficheiro ipsec.conf, ficando da seguinte forma:

Figura 1 – ficheiro /etc/ipsec.conf

No ficheiro apresentado, foi adicionada a ligação “road_tp3”, para perm itir efectuar a ligação de road warriors com autenticação baseada em chaves rsa contidas nos certificados x509 de cada entidade, sendo que os certificados do cliente terão que ter sido emitidos pela mesma CA que o certificado do gateway. Especificando cada parâmetro adicionado ao ficheiro, têm-se:

Authby=rsasig – define o tipo de autenticação a ser utilizada.

Pfs=no – desactiva o Perfect Forward Secrecy

Auto=add – define o tipo de operação

Rekey = no – Evita que o Pluto peça renegociação da ligação, visto não ser possível faze-lo para “% any”.

Left=%defaultroute – Define o lado esquerdo, neste caso o gateway.

Leftrsasigkey=%cert – Define a chave rsa do gateway, neste caso inserida no certificado.



Leftcert=gateway_tp3.crt – define qual o certificado do gateway, que neste caso se encontra na pasta /etc/ipsec.d/certs, pasta por defeito.

Leftprotoport=17/0 – Visto o cliente ser Windows, este comando permite receber qualquer cliente Windows 2000/xp original, ou seja, sem updates.

Right=%any – Define que o lado direito pode ser qualquer um.

Rightca=%same – Define que o certificado do cliente terá que ter sido emitido pela mesma CA do certificado do gateway.

Rightrsasigkey=%cert – Define o local onde se encontra a chave rsa do cliente, neste caso, no certificado.

Rightprotoport=17/1701 – Permite a ligação a clientes originais (sem updates).

Para além destas configurações foi ainda necessário indicar no ficheiro ipsec.secrets o local onde residia a chave rsa.

Figura 2 – ficheiro ipsec.secrets

Como se pode observar pela figura 2, foi indicado o ficheiro ssc_tp3.key que reside na pasta por defeito, nomeadamente /etc/ipsec.d/private/ssc_tp3.key.

Configuração L2TP/PPP Neste ponto irão ser descritas as configurações efectuadas no ficheiro de configuração do L2TP, nomeadamente o ficheiro l2tpd.conf e também no ficheiro do ppp, options.l2tpd.

De seguida pode-se observar o ficheiro /etc/l2tpd/l2tpd.conf.

Figura 3 – Ficheiro /etc/l2tpd/l2tpd.conf

No ficheiro l2tpd foram configurados os dados para configuração IP do cliente e autênticação do utilizador, ou seja, são pacotes que já irão ser transmitidos sobre ipsec e servirão para



definir os parâmetros restantes da ligação VPN. Especificando cada parâmetro do ficheiro apresentado, têm-se:

Port = 1701 – Define a porta de comunicação.

Auth file = /etc/l2tpd/l2tp-secrets – Define qual o ficheiro que contém os dados de autenticação, neste caso como é o ficheiro por default, esta opção podia estar omitida.

Dentro da secção do lns por defeito:

Ip range = 10.254.6.1 – 10.254.6.254 – Define o intervalo de ip’s a atribuir aos clientes.

Local ip = indica o ip local do gateway.

Require chap = yes – Define a obrigatoriedade de a autenticação se efectuar sobre o protocolo chap.

Refuse pap = yes – Proibe que os clientes se autentiquem através do protocolo pap, que envia tudo em clear text.

Require authentication = yes – Indica que é obrigatório ocorrer autenticação para todos os clientes.

Name = LinuxVPNserver – define o nome do servidor VPN.

Ppp debug =yes – Liga o modo debug para o protocolo ppp.

Pppoptfile = /etc/ppp/options.l2ptd – Define o ficheiro onde se encontram as configurações necessárias ao funcionamento requerido do protocolo ppp.

De seguida pode-se observar o ficheiro indicado em pppoptfile.

Figura 4 – ficheiro options.l2tpd

Como se pode observar na figura 4, é neste ficheiro que se encontram implementadas algumas das funcionalidades requeridas no enunciado deste trabalho. Nomeadamente a definição dos ips dns, em:

Ms-dns 193.136.212.1



Ms-dns 193.136.212.21

A definição do servidor wins:

Ms-wins 10.1.0.232

A activação do proxyarp:

Proxyarp

Os restantes itens são itens adicionados por defeito e servem para definir os restantes parâmetros da ligação ppp.

De notar que para além deste dois ficheiros foi necessário ainda adicionar os dados dos utilizadores ao ficheiro l2tp-secrets, nomeadamente login e palavra-chave.

Figura 5 – ficheiro l2tp-secrets



4. Configuração do cliente Windows

Para configurar o cliente Windows, começou-se por criar uma nova consola mmc, adicionando-lhe 2 Snap-in’s, nomeadamente “Certificates” e “IP Security Policies”, am bos para o computador local, como se pode observar na figura seguinte.

Figura 6 – consola mmc criada.

De seguida importou-se o certificado cliente_tp3.p12, criado anteriormente, como demonstra na figura 7.

Figura 7 – Import do certificado.



Figura 8- Certificado importado.

Importado o certificado do cliente, foi ainda necessário importar a CA criada, pois como é uma CA privada não se encontra na lista de “Trusted root Certification Authorities”, o que irá ser necessário para definir a politica de autenticação no “IP Security Policies”. De notar que na figura 8 a CA já se encontra im portada, com o se pode observar pelo cam po “Issued By”, onde se encontra a entrada “pcg5106.dei.uc.pt”.

O próximo passo foi alterar o tipo de autenticação utilizado pelo Windows como cliente.

Figura 9 – IP Security Police.



Figura 10 – Configuração do tipo de autenticação para o IPSec e selecção da respectiva CA.

Na figura 10, pode-se então observar os passos necessários para alterar o tipo de autenticação, de kerberos (default), para “Use certificate from this certification Authority(CA)”.

Começou-se por aceder às propriedades de “Cliente (responde only)”, editou-se a politica de segurança existente, alterando o método para CA, seleccionando a CA pretendida.

Adicionados e configurado todo o cenário para permitir o gestor de ligação do Windows aceder aos certificados, eis que se procedeu à criação de uma nova ligação. Em:

Start Control Panel Network Connections Create a new connection

Efectuou-se todo o processo para a criação de uma nova vpn para ligar ao servidor 192.168.6.254, ou seja, o servidor configurado no ponto 3 deste relatório.



Figura 11 – Tab General da ligação VPN criada.



Figura 12 – Tab Security da ligação VPN criada.

Na figura 12, pode – se observar a implementação do requisito requerido em relação ao método de autenticação, nomeadamente sobre CHAP.

Na tab “Netw orking” alterou-se a entrada “Type of VPN” de “autom atic” para “L2TP IPSec VPN”, com o se pode observar na figura 13.



Figura 13 – Tab Networking da ligação VPN criada.

Neste momento está completo todo o processo de configuração tanto do servidor como do cliente, sendo que no ponto seguinte irão ser demonstrados todos os testes efectuados sobre esta configuração.



5. Testes

Num primeiro cenário e sendo o grande teste neste trabalho, vai-se demonstrar a ligação do cliente ao gateway. O cenário de redes utilizado é o cenário demonstrado na figura seguinte:

Figura 14 – Cenário de teste.

Para montar este cenário, o cliente é uma máquina física, o gateway e a máquina da rede local são máquinas virtuais emuladas no vmware. De seguida pode-se observar as ligações de rede de cada entidade interveniente.



Cliente Windows XP:

Figura 15 – Ligações de rede do cliente.

Pode-se observar na figura 15, a ligação Vm net1 não é m ais que a ligação à rede “Internet” simulada neste trabalho.



Gateway VPN:

Figura 16 – Ligações de rede do gateway.

Pode-se observar na figura 16, em eth0 a interface para a rede local e em eth1 a interface para a “internet” sim ulada.



Máquina local:

Figura 17 – Configuração das interfaces de rede da máquina local.

Na figura 17 pode-se observar a máquina da rede local com o ip 10.254.0.1. Esta máquina vai servir apenas para cenário de teste. De seguida, inicia-se os serviços ipsec e l2tpd, com mostra nas imagens seguintes.

Figura 18 – Arranque dos serviços no gateway.

Pode-se observar que ocorreu um erro num módulo, contudo não afecta o funcionamento do sistema montado, como também se pode observar, ambos os serviços arrancaram correcta.

Figura 19 - log do ficheiro /var/log/messages



Figura 20 – log do ficheiro /var/log/secure

Nas figuras 19 e 20 pode-se observar o registo efectuado nos ficheiros log, resultantes das acções demonstradas na figura 18. Como se observa, todo o processo desenrola-se normalmente.

Com o servidor a correr, vai-se então efectuar a ligação do cliente Windows. As próximas imagens mostraram o desenrolar do processo.



Figura 21 – Inserção dos dados de autenticação e ligação.



Figura 22 – Sequência da ligação.

Efectuada a ligação com sucesso, vai-se ao Gateway observar o que ficou registado nos logs.

Figura 23 – Log /var/log/secure

Na figura 23 pode-se observar o registo efectuado no momento em que o cliente Windows efectuou a ligação. Assinalado a verde observa-se o momento da transacção do certificado e assinalado a vermelho o registo da ligação estabelecida. De seguida vai-se observar o ficheiro /var/log/messages.



Figura 24 – log /var/log/messages

Neste ficheiro de registo pode-se observar o registo dos restantes protocolos intervenientes neste processo, nomeadamente os protocolos que funcionam em cima do já estabelecido IPSec, L2TP e PPP. Em primeiro lugar, estabelece a ligação l2tp, como se pode observar na primeira linha. De seguida, efectua-se a ligação ppp sobre a ligação l2tpd, definindo os parâmetros para a mesma, com base na configuração efectuada anteriormente. Pode-se então observar na ante-penúltima linha o resultado do proxyarp, na penúltima a local IP e na última a IP local atribuído ao cliente Windows.

Na figura 25 e 26, pode-se observar o estado da ligação VPN do lado do Windows.

Figura 25 – Ligação ppp no ipconfig /all.



Figura 26 – Detalhes da ligação Vpn.

Nas duas últimas figuras apresentadas, pode-se observar a boa atribuição de ip’s, de acordo com o pedido. Pode-se ainda observar o tipo de autenticação e encriptação do IPSec.

De seguida, para garantir toda a operacionalidade dos sistema, efectuaram-se os ping’s de teste entre o cliente e o servidor, como mostra a figura 27 e entre o cliente e a máquina da rede local 10.254.0.1. Ao pingar correu-se o sniffer Ethereal na interface ppp0, garantindo que o tráfego circulava por esta ligação, se bem que tam bém ao observar pelo “ipconfig” não seria possível aceder a esta rede por outro ponto, ainda por mais que todo o tráfego IP é redireccionado para a ligação vpn.



Figura 27 – Ping entre o cliente “Road Warrior” e o servidor VPN.



Figura 28 – Ping para máquina local.

Pela figura 28 prova-se tam bém o funcionam ento do com ando “proxyarp” inserido no ficheiro de configuração /etc/ppp/options.l2tp, que permite tratar o cliente remoto como uma máquina local.



6. Conclusão

Este trabalho aborda uma área bastante útil e com grande utilização prática em empresas já de alguma consistência e grandeza, o que por si só demonstra a importância desta matéria e acima de tudo a importância e a responsabilidade de quem configura um sistema deste género. Foi bastante interessante configurar este sistema, visto os alunos em questão já o terem efectuado em equipamentos Cisco, ficando agora com uma visão mais alargada nesta área.

Durante a realização deste trabalho, depararam-se algumas dificuldades na configuração dos certificados em Windows, visto que uma simples instalação do certificado não seria suficiente para que o cliente VPN nativo do Windows, acede-se ao certificado, contudo, nada de mais. Foi interessante também verificar a utilidade de certificados x509, cujo grande contacto se deu na realização do primeiro trabalho desta cadeira.

7. Bibliografia

[carlson04] http://www.natecarlson.com/linux/ipsec-x509.php

[zelerance06] http://www.openswan.org/

[pmwiki06] http://wiki.openswan.org/

[strongswan06] https://lists.strongswan.org

[freeswan04] http://www.freeswan.org/

[ipsec05] http://www.ipsec-howto.org/

[koeppe03] http://koeppe-net.de/l2tp-howto.txt

http://www.natecarlson.com/linux/ipsec-x509.php

http://www.openswan.org/

http://wiki.openswan.org/

https://lists.strongswan.org/

http://www.freeswan.org/

http://www.ipsec-howto.org/

http://koeppe-net.de/l2tp-howto.txt

Documents

Trabalho Elaborado por: Ricardo Nuno Mendão da Silva ...rnsilva/VPN_RoadWarriors.pdf · aceder aos certificados, eis que se procedeu à criação de uma nova ligação. Em: Start