Roberto Castro, profile picture
Carregado porRoberto Castro
PDF, PPTX868 visualizações

Aula20 open vpn

O documento descreve como configurar uma rede privada virtual (VPN) usando o OpenVPN com chaves estáticas e certificados. Ele explica como gerar chaves e certificados, configurar um servidor e cliente OpenVPN, e verificação da conexão VPN.

Incorporar apresentação

Transferir como PDF, PPTX
Linux Network Servers OpenVPN www.4linux.com.br 2 / 34
CONCEITO DE VPN www.4linux.com.br 3 / 34
CONCEITO ➔ O que é VPN? O surgimento da VPN se deve a necessidade de se utilizar redes de comunicação não confiáveis, como a Internet para trafegar informações de forma segura. A Virtual Private Network no passado já esteve associada a serviços remotos de conectividade, como a rede de telefonia pública comutada (RTPC) ou os PVCs (Permanent Virtual Circuits/Channel) do Frame Relay. A VPN utiliza protocolos de tunelamento e procedimentos de encriptação, garantindo a integridade e autenticidade dos dados. Com a VPN é possível interligar duas ou mais redes, em diferente tipos de sistemas operacionais. www.4linux.com.br 4 / 34
CONFIGURANDO OPENVPN COM CHAVE ESTÁTICA www.4linux.com.br 5 / 34
CONFIGURANDO O SERVIDOR Nesta configuração, vamos usar chaves estáticas, que é a forma mais simples de configurar a VPN. Vamos gerar uma chave que será usada tanto pelo servidor quanto pelo cliente. # aptitude install openvpn # openvpn --genkey --secret /etc/openvpn/chave www.4linux.com.br 6 / 34
CONFIGURANDO O SERVIDOR # vim /etc/openvpn/server.conf dev tun ifconfig 10.0.0.1 10.0.0.2 secret /etc/openvpn/chave port 5000 comp-lzo verb 4 keepalive 10 120 persist-key persist-tun float www.4linux.com.br 7 / 34
CONFIGURANDO O SERVIDOR dev tun → Habilita suporte ao drive TUN/TAP; ifconfig → Cria o IP do servidor (10.0.0.1) com suporte ao IP do cliente (10.0.0.2); secret → Comando para chamar nossa chave criptografada e o local dela; port → Define a porta que a OpenVPN vai rodar; comp-lzo → Ativa suporte a compressão; verb → Nível para depuração de erros; keepalive → Envia um ping a cada 10 segundos sem atividade e a VPN é reiniciada depois de 120 segundos sem respostas. www.4linux.com.br 8 / 34
CONFIGURANDO O SERVIDOR persist-key → Assegura que o daemon mantenha as chaves carregadas, quando a VPN é restabelecida depois de uma queda de conexão; persist-tun → Assegura que o daemon mantenha a interface tun aberta, quando a VPN é restabelecida depois de uma queda de conexão; float → Permite que o túnel continue aberto mesmo que o endereço IP da outra máquina mude. www.4linux.com.br 9 / 34
CONFIGURANDO O CLIENTE # aptitude install openvpn # vim /etc/openvpn/client.conf dev tun ifconfig 10.0.0.2 10.0.0.1 remote 192.168.200.1 secret /etc/openvpn/chave port 5000 comp-lzo verb 4 keepalive 10 120 persist-key persist-tun float www.4linux.com.br 10 / 34
INICIANDO O SERVIÇO Copie o arquivo chave que está em /etc/openvpn/ do Servidor para o /etc/openvpn do cliente. No servidor: # /etc/init.d/openvpn start No cliente: # /etc/init.d/openvpn start www.4linux.com.br 11 / 34
INICIANDO O SERVIÇO No servidor: # ifconfig tun0 Link encap:Não Especificado Endereço de HW 00- 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet end.: 10.0.0.1 P-a-P:10.0.0.2 No cliente: # ifconfig tun0 Link encap:Não Especificado Endereço de HW 00- 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet end.: 10.0.0.2 P-a-P:10.0.0.1 www.4linux.com.br 12 / 34
CONFIGURANDO OPENVPN COM CERTIFICADOS www.4linux.com.br 13 / 34
MELHORANDO A SEGURANÇA A OpenVPN oferece vários mecanismos para adicionar camadas adicionais de segurança, como por exemplo rodar em chroot, uso de conexões TLSs, certificados, uso de chaves com maiores bits. Todas essas camadas previnem ataques como “Man in the Middle”, “DoS”, “Flooding”, “Port scanning” e “Buffer overflow”. www.4linux.com.br 14 / 34
OPENVPN SEM PRIVILÉGIO DE ROOT Adicione a configuração no servidor e cliente:, as opções “user” e “group” para que o OpenVPN seja executado como usuário nobody e grupo nogroup. # vim /etc/openvpn/server.conf # vim /etc/openvpn/client.conf No final do arquivo coloque: user nobody group nogroup www.4linux.com.br 15 / 34
Tls-auth HMAC Você pode adicionar uma assinatura que será verificada antes do processamento de todos os pacotes UDP Em nossa . configuração do servidor vamos habilitar as seguintes opções: tls-auth → Habilita o controle de conexões tls; tls-server → Ajuda a bloquear ataques DoS e flooding na porta do OpenVPN; ca → Certificado de autoridade (CA) que usa as bibliotecas do OpenSSL; cert → Certificado do servidor; key → Chave RSA de 2048 do servidor; dh → Parâmetros Diffie-Hellman utilizado para a troca das chaves criptografadas durante a execução; cipher → Define um tipo de criptografia maior. www.4linux.com.br 16 / 34
Tls-auth HMAC Para gerar os certificados e chaves o OpenVPN traz junto a sua instalação, uma série de scripts chamados “easy-rsa”. Eles podem ser encontrados em /usr/share/doc/openvpn/examples/easy-rsa/2.0/ # ls /usr/share/doc/openvpn/examples/easy-rsa/2.0/ www.4linux.com.br 17 / 34
Tls-auth HMAC Veja que na lista de scripts cada um, tem uma função especifica para criação de certificados e chaves. Vamos copiar o diretório com os scripts para nossa instalação do OpenVPN # cp -a /usr/share/doc/openvpn/examples/easy-rsa/2.0 /etc/openvpn/ Acesse o diretório com os scripts copiados: # cd /etc/openvpn/2.0 www.4linux.com.br 18 / 34
Tls-auth HMAC Crie o subdiretório onde serão armazenadas as chaves e certificado: # mkdir keys Gerando certificado CA e chave RSA Utilizando os scripts vamos gerar os certificados e chaves, que serão utilizados em nossa configuração do OpenVPN. www.4linux.com.br 19 / 34
GERANDO CERTIFICADO Instale o pacote openssl: # aptitude install openssl # vim vars export KEY_SIZE=2048 export KEY_COUNTRY="BR" export KEY_PROVINCE="SP" export KEY_CITY="SaoPaulo" export KEY_ORG="DEXTER" export KEY_EMAIL="root@dexter.com.br" www.4linux.com.br 20 / 34
GERANDO CERTIFICADO Use a sequência de comandos abaixo para gerar o certificado de autoridade: # source vars # ./clean-all # ./build-ca Preencha as informações do certificado: Country Name (2 letter code) [BR]:BR State or Province Name (full name) [SP]:SP Locality Name (eg, city) [SaoPaulo]:SaoPaulo Organization Name (eg, company) [DEXTER]:DEXTER Organizational Unit Name (eg, section) []:DEXTER Common Name (eg, your name or your server's hostname) [DEXTER CA]: Name []: Email Address [root@dexter.com.br]:root@dexter.com.br www.4linux.com.br 21 / 34
GERANDO CERTIFICADO ./build-key-server server Generating a 2048 bit RSA private key ..............................................................................+++ ..........+++ writing new private key to 'server.key' Country Name (2 letter code) [BR]:BR State or Province Name (full name) [SP]:SP Locality Name (eg, city) [SaoPaulo]:SaoPaulo Organization Name (eg, company) [DEXTER]:DEXTER Organizational Unit Name (eg, section) []:DEXTER Common Name (eg, your name or your server's hostname) [server]: Name []: Email Address [root@dexter.com.br]:root@dexter.com.br www.4linux.com.br 22 / 34
GERANDO CERTIFICADO Using configuration from /etc/openvpn/2.0/openssl.cnf The Subject's Distinguished Name is as follows countryName :PRINTABLE:'BR' stateOrProvinceName :PRINTABLE:'SP' localityName :PRINTABLE:'SaoPaulo' organizationName :PRINTABLE:'DEXTER' organizationalUnitName:PRINTABLE:'DEXTER' commonName :PRINTABLE:'server' emailAddress :IA5STRING:'root@dexter.com.br' Certificate is to be certified until Jun 25 01:31:25 2021 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated www.4linux.com.br 23 / 34
GERANDO CERTIFICADO Liste o conteúdo do subdiretório keys e verifique o arquivo de certificado do servidor (server.csr), o arquivo da chave do servidor (server.key) e o certificado auto assinado (server.crt). Gerando parâmetros Diffie-Hellman Os parâmetros Diffie-Hellman são utilizados para a troca das chaves criptografadas durante a execução do OpenVPN. Use o script abaixo para gerar os parâmetros: # ./build-dh www.4linux.com.br 24 / 34
CONFIGURANDO O SERVIDOR Liste o conteúdo do subdiretório keys e verifique o arquivo com os parâmetros Diffie-Hellman (dh2048.pem). Configurando o servidor OpenVPN Com os certificados e chaves gerados, abra o arquivo do servidor e adicione as opções abaixo: # vim /etc/openvpn/server.conf www.4linux.com.br 25 / 34
CONFIGURANDO O SERVIDOR # vim /etc/openvpn/server.conf dev tun ifconfig 10.0.0.1 10.0.0.2 port 5000 comp-lzo verb 4 keepalive 10 120 persist-key persist-tun float user nobody group nogroup tls-server tls-auth chave 0 www.4linux.com.br 26 / 34
CONFIGURANDO O SERVIDOR Continuação: # vim /etc/openvpn/server.conf ca 2.0/keys/ca.crt cert 2.0/keys/server.crt key 2.0/keys/server.key dh 2.0/keys/dh2048.pem cipher DES-EDE3-CBC www.4linux.com.br 27 / 34
CONFIGURANDO O CLIENTE Ainda na máquina servidor crie a chave e o certificado para a máquina cliente, com o hostname da maquina cliente. # cd /etc/openvpn/2.0 # ./build-key client Country Name (2 letter code) [BR]:BR State or Province Name (full name) [SP]:SP Locality Name (eg, city) [SaoPaulo]:SaoPaulo Organization Name (eg, company) [DEXTER]:DEXTER Organizational Unit Name (eg, section) []:DEXTER Common Name (eg, your name or your server's hostname) [client]: Name []: Email Address [root@dexter.com.br]:root@dexter.com.br www.4linux.com.br 28 / 34
CONFIGURANDO O CLIENTE The Subject's Distinguished Name is as follows countryName :PRINTABLE:'BR' stateOrProvinceName :PRINTABLE:'SP' localityName :PRINTABLE:'SaoPaulo' organizationName :PRINTABLE:'DEXTER' organizationalUnitName:PRINTABLE:'DEXTER' commonName :PRINTABLE:'client' emailAddress :IA5STRING:'root@dexter.com.br' Certificate is to be certified until Jun 25 01:51:26 2021 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated www.4linux.com.br 29 / 34
CONFIGURANDO O CLIENTE Faça a copia dos arquivos abaixo via ssh para a máquina cliente. # cd /etc/openvpn/2.0/keys # scp client.key client.crt ca.crt root@IP_DO_CLIENTE:/etc/openvpn www.4linux.com.br 30 / 34
CONFIGURANDO O CLIENTE # vim /etc/openvpn/client.conf dev tun ifconfig 10.0.0.2 10.0.0.1 remote 192.168.200.1 port 5000 comp-lzo verb 4 keepalive 10 120 persist-key persist-tun float user nobody group nogroup ns-cert-type server www.4linux.com.br 31 / 34
CONFIGURANDO O CLIENTE Continuação: # vim /etc/openvpn/client.conf tls-client tls-auth chave 1 ca ca.crt cert client.crt key client.key cipher DES-EDE3-CBC www.4linux.com.br 32 / 34
CONFIGURANDO O CLIENTE Descrição das novas opções utilizadas: ns-cert-type → Indica que certificado foi assinado pelo servidor; tls-client → Habilita conexão TLS, ajudando a bloquear ataques DoS e flooding na porta do OpenVPN. No servidor: # /etc/init.d/openvpn start Depos no cliente: # /etc/init.d/openvpn start www.4linux.com.br 33 / 34
CHECANDO CONEXÃO No servidor: # ifconfig tun0 Link encap:Não Especificado Endereço de HW 00- 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet end.: 10.0.0.1 P-a-P:10.0.0.2 Masc:255.255.255.255 No cliente: # ifconfig tun0 Link encap:Não Especificado Endereço de HW 00- 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet end.: 10.0.0.2 P-a-P:10.0.0.1 Masc:255.255.255.255 www.4linux.com.br 34 / 34

Mais conteúdo relacionado

PDF
Tutorial open vpn_setup ssh tunel
porManim Edições
 
PDF
Introdução ao Ssh
porFelipe Santos
 
PDF
Debian 6: Instalação e Hardening
porBruna Griebeler
 
PDF
Instalação do asterisk
porVicente Nobre
 
PDF
Vps manager 2.0 documentação e intalação
porManim Edições
 
PDF
DoS: Negação de Serviço e formas de defesa - Elgio Schlemer
porTchelinux
 
PDF
Implatação de Sistemas de Segurança com Linux
porAlvaro Gomes
 
PDF
Aula de Linux
porRafael Correia da Silva
 
Tutorial open vpn_setup ssh tunel
porManim Edições
 
Introdução ao Ssh
porFelipe Santos
 
Debian 6: Instalação e Hardening
porBruna Griebeler
 
Instalação do asterisk
porVicente Nobre
 
Vps manager 2.0 documentação e intalação
porManim Edições
 
DoS: Negação de Serviço e formas de defesa - Elgio Schlemer
porTchelinux
 
Implatação de Sistemas de Segurança com Linux
porAlvaro Gomes
 
Aula de Linux
porRafael Correia da Silva
 

Mais procurados

PDF
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
porjrrsouzaj
 
PDF
Seguranca em Servidores Linux
porAlessandro Silva
 
PDF
Segurança em servidores Linux
porSoftD Abreu
 
PPTX
Monitoramento de Serviços de Bancos de Dados - Nagios
porEduardo Legatti
 
PDF
Ferramentas GPL para a segurança de Redes de Computadores - Vanderlei Pollon
porTchelinux
 
PDF
Certificação lpi 1 101 - 102 v2 (Linux Professional Institute)
porDenis Katko
 
PDF
Apache
porCarlos Melo
 
ODP
Monitoramento de Redes com Nagios
porDaniel Lara
 
PDF
Tutorial servidor debian linux ocs invetory
porgigadrop
 
PDF
Aula14 vsftp de-introopenldap
porRoberto Castro
 
PDF
Certificação LPI sem mistérios
porBruna Griebeler
 
PDF
Programação Multiplataforma em Ambiente Web
porIsrael Messias
 
PDF
Monitoração com Nagios
porCristiano Casado
 
PDF
Comandos Linux Parte 1
porLeo Amorim
 
PDF
Dhcp com controle_ip_compartilhamento
porInstituto Federal Sertão Pernambucano
 
PDF
Comandos linux
porErivan Cledson
 
PDF
Workshop Slackware 12.1 - Tiago Biazus
porTchelinux
 
PDF
Um milhao de usuários simultâneos
porFernando Ike
 
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
porjrrsouzaj
 
Seguranca em Servidores Linux
porAlessandro Silva
 
Segurança em servidores Linux
porSoftD Abreu
 
Monitoramento de Serviços de Bancos de Dados - Nagios
porEduardo Legatti
 
Ferramentas GPL para a segurança de Redes de Computadores - Vanderlei Pollon
porTchelinux
 
Certificação lpi 1 101 - 102 v2 (Linux Professional Institute)
porDenis Katko
 
Apache
porCarlos Melo
 
Monitoramento de Redes com Nagios
porDaniel Lara
 
Tutorial servidor debian linux ocs invetory
porgigadrop
 
Aula14 vsftp de-introopenldap
porRoberto Castro
 
Certificação LPI sem mistérios
porBruna Griebeler
 
Programação Multiplataforma em Ambiente Web
porIsrael Messias
 
Monitoração com Nagios
porCristiano Casado
 
Comandos Linux Parte 1
porLeo Amorim
 
Dhcp com controle_ip_compartilhamento
porInstituto Federal Sertão Pernambucano
 
Comandos linux
porErivan Cledson
 
Workshop Slackware 12.1 - Tiago Biazus
porTchelinux
 
Um milhao de usuários simultâneos
porFernando Ike
 

Destaque

PDF
Nfs protocol sequence_diagram
porRoberto Castro
 
PDF
Servidor de Autenticação Centralizada com OpenLDAP - Thiago Finardi
porTchelinux
 
PDF
Autenticação Centralizada
porLinux User Goup Alagoas
 
PDF
Pentest conisli07
porRoberto Castro
 
DOC
Curso hacking com BT5
porCassio Ramos
 
PDF
Livropfsense2 0ptbr-120227112435-phpapp02
porRoberto Castro
 
PDF
O feng office open source
porRoberto Castro
 
PDF
Tutorial de instalacao_do_zabbix_2.0.0
porRoberto Castro
 
Nfs protocol sequence_diagram
porRoberto Castro
 
Servidor de Autenticação Centralizada com OpenLDAP - Thiago Finardi
porTchelinux
 
Autenticação Centralizada
porLinux User Goup Alagoas
 
Pentest conisli07
porRoberto Castro
 
Curso hacking com BT5
porCassio Ramos
 
Livropfsense2 0ptbr-120227112435-phpapp02
porRoberto Castro
 
O feng office open source
porRoberto Castro
 
Tutorial de instalacao_do_zabbix_2.0.0
porRoberto Castro
 

Semelhante a Aula20 open vpn

PDF
Tutorial open vpn_setup ssh tunel
porManim Edições
 
PDF
VPN usando OPENVPN - Rafael Padilha da silva(DELETE)
porTchelinux
 
PDF
Guia de configuração de um servidor linux para utilização em uma pequena empresa
porSoftD Abreu
 
PDF
Open vpn
porTiago
 
PDF
Datacenter na nuvem
porIgnacio Nin
 
PDF
Aula 2
porFred E Rebeca
 
PPSX
Aula src openvpn-configuração com chave publica
porRafael Simões
 
PDF
Acesso Remoto Para Principiantes
porFelipe Santos
 
Tutorial open vpn_setup ssh tunel
porManim Edições
 
VPN usando OPENVPN - Rafael Padilha da silva(DELETE)
porTchelinux
 
Guia de configuração de um servidor linux para utilização em uma pequena empresa
porSoftD Abreu
 
Open vpn
porTiago
 
Datacenter na nuvem
porIgnacio Nin
 
Aula 2
porFred E Rebeca
 
Aula src openvpn-configuração com chave publica
porRafael Simões
 
Acesso Remoto Para Principiantes
porFelipe Santos
 

Aula20 open vpn

  • 2.
    Linux Network Servers OpenVPN www.4linux.com.br 2 / 34
  • 3.
    CONCEITO DE VPN www.4linux.com.br 3 / 34
  • 4.
    CONCEITO ➔ O queé VPN? O surgimento da VPN se deve a necessidade de se utilizar redes de comunicação não confiáveis, como a Internet para trafegar informações de forma segura. A Virtual Private Network no passado já esteve associada a serviços remotos de conectividade, como a rede de telefonia pública comutada (RTPC) ou os PVCs (Permanent Virtual Circuits/Channel) do Frame Relay. A VPN utiliza protocolos de tunelamento e procedimentos de encriptação, garantindo a integridade e autenticidade dos dados. Com a VPN é possível interligar duas ou mais redes, em diferente tipos de sistemas operacionais. www.4linux.com.br 4 / 34
  • 5.
    CONFIGURANDO OPENVPN COM CHAVEESTÁTICA www.4linux.com.br 5 / 34
  • 6.
    CONFIGURANDO O SERVIDOR Nestaconfiguração, vamos usar chaves estáticas, que é a forma mais simples de configurar a VPN. Vamos gerar uma chave que será usada tanto pelo servidor quanto pelo cliente. # aptitude install openvpn # openvpn --genkey --secret /etc/openvpn/chave www.4linux.com.br 6 / 34
  • 7.
    CONFIGURANDO O SERVIDOR #vim /etc/openvpn/server.conf dev tun ifconfig 10.0.0.1 10.0.0.2 secret /etc/openvpn/chave port 5000 comp-lzo verb 4 keepalive 10 120 persist-key persist-tun float www.4linux.com.br 7 / 34
  • 8.
    CONFIGURANDO O SERVIDOR devtun → Habilita suporte ao drive TUN/TAP; ifconfig → Cria o IP do servidor (10.0.0.1) com suporte ao IP do cliente (10.0.0.2); secret → Comando para chamar nossa chave criptografada e o local dela; port → Define a porta que a OpenVPN vai rodar; comp-lzo → Ativa suporte a compressão; verb → Nível para depuração de erros; keepalive → Envia um ping a cada 10 segundos sem atividade e a VPN é reiniciada depois de 120 segundos sem respostas. www.4linux.com.br 8 / 34
  • 9.
    CONFIGURANDO O SERVIDOR persist-key→ Assegura que o daemon mantenha as chaves carregadas, quando a VPN é restabelecida depois de uma queda de conexão; persist-tun → Assegura que o daemon mantenha a interface tun aberta, quando a VPN é restabelecida depois de uma queda de conexão; float → Permite que o túnel continue aberto mesmo que o endereço IP da outra máquina mude. www.4linux.com.br 9 / 34
  • 10.
    CONFIGURANDO O CLIENTE #aptitude install openvpn # vim /etc/openvpn/client.conf dev tun ifconfig 10.0.0.2 10.0.0.1 remote 192.168.200.1 secret /etc/openvpn/chave port 5000 comp-lzo verb 4 keepalive 10 120 persist-key persist-tun float www.4linux.com.br 10 / 34
  • 11.
    INICIANDO O SERVIÇO Copieo arquivo chave que está em /etc/openvpn/ do Servidor para o /etc/openvpn do cliente. No servidor: # /etc/init.d/openvpn start No cliente: # /etc/init.d/openvpn start www.4linux.com.br 11 / 34
  • 12.
    INICIANDO O SERVIÇO Noservidor: # ifconfig tun0 Link encap:Não Especificado Endereço de HW 00- 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet end.: 10.0.0.1 P-a-P:10.0.0.2 No cliente: # ifconfig tun0 Link encap:Não Especificado Endereço de HW 00- 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet end.: 10.0.0.2 P-a-P:10.0.0.1 www.4linux.com.br 12 / 34
  • 13.
    CONFIGURANDO OPENVPN COM CERTIFICADOS www.4linux.com.br 13 / 34
  • 14.
    MELHORANDO A SEGURANÇA A OpenVPN oferece vários mecanismos para adicionar camadas adicionais de segurança, como por exemplo rodar em chroot, uso de conexões TLSs, certificados, uso de chaves com maiores bits. Todas essas camadas previnem ataques como “Man in the Middle”, “DoS”, “Flooding”, “Port scanning” e “Buffer overflow”. www.4linux.com.br 14 / 34
  • 15.
    OPENVPN SEM PRIVILÉGIODE ROOT Adicione a configuração no servidor e cliente:, as opções “user” e “group” para que o OpenVPN seja executado como usuário nobody e grupo nogroup. # vim /etc/openvpn/server.conf # vim /etc/openvpn/client.conf No final do arquivo coloque: user nobody group nogroup www.4linux.com.br 15 / 34
  • 16.
    Tls-auth HMAC Você podeadicionar uma assinatura que será verificada antes do processamento de todos os pacotes UDP Em nossa . configuração do servidor vamos habilitar as seguintes opções: tls-auth → Habilita o controle de conexões tls; tls-server → Ajuda a bloquear ataques DoS e flooding na porta do OpenVPN; ca → Certificado de autoridade (CA) que usa as bibliotecas do OpenSSL; cert → Certificado do servidor; key → Chave RSA de 2048 do servidor; dh → Parâmetros Diffie-Hellman utilizado para a troca das chaves criptografadas durante a execução; cipher → Define um tipo de criptografia maior. www.4linux.com.br 16 / 34
  • 17.
    Tls-auth HMAC Para geraros certificados e chaves o OpenVPN traz junto a sua instalação, uma série de scripts chamados “easy-rsa”. Eles podem ser encontrados em /usr/share/doc/openvpn/examples/easy-rsa/2.0/ # ls /usr/share/doc/openvpn/examples/easy-rsa/2.0/ www.4linux.com.br 17 / 34
  • 18.
    Tls-auth HMAC Veja quena lista de scripts cada um, tem uma função especifica para criação de certificados e chaves. Vamos copiar o diretório com os scripts para nossa instalação do OpenVPN # cp -a /usr/share/doc/openvpn/examples/easy-rsa/2.0 /etc/openvpn/ Acesse o diretório com os scripts copiados: # cd /etc/openvpn/2.0 www.4linux.com.br 18 / 34
  • 19.
    Tls-auth HMAC Crie osubdiretório onde serão armazenadas as chaves e certificado: # mkdir keys Gerando certificado CA e chave RSA Utilizando os scripts vamos gerar os certificados e chaves, que serão utilizados em nossa configuração do OpenVPN. www.4linux.com.br 19 / 34
  • 20.
    GERANDO CERTIFICADO Instale opacote openssl: # aptitude install openssl # vim vars export KEY_SIZE=2048 export KEY_COUNTRY="BR" export KEY_PROVINCE="SP" export KEY_CITY="SaoPaulo" export KEY_ORG="DEXTER" export KEY_EMAIL="root@dexter.com.br" www.4linux.com.br 20 / 34
  • 21.
    GERANDO CERTIFICADO Use asequência de comandos abaixo para gerar o certificado de autoridade: # source vars # ./clean-all # ./build-ca Preencha as informações do certificado: Country Name (2 letter code) [BR]:BR State or Province Name (full name) [SP]:SP Locality Name (eg, city) [SaoPaulo]:SaoPaulo Organization Name (eg, company) [DEXTER]:DEXTER Organizational Unit Name (eg, section) []:DEXTER Common Name (eg, your name or your server's hostname) [DEXTER CA]: Name []: Email Address [root@dexter.com.br]:root@dexter.com.br www.4linux.com.br 21 / 34
  • 22.
    GERANDO CERTIFICADO ./build-key-server server Generatinga 2048 bit RSA private key ..............................................................................+++ ..........+++ writing new private key to 'server.key' Country Name (2 letter code) [BR]:BR State or Province Name (full name) [SP]:SP Locality Name (eg, city) [SaoPaulo]:SaoPaulo Organization Name (eg, company) [DEXTER]:DEXTER Organizational Unit Name (eg, section) []:DEXTER Common Name (eg, your name or your server's hostname) [server]: Name []: Email Address [root@dexter.com.br]:root@dexter.com.br www.4linux.com.br 22 / 34
  • 23.
    GERANDO CERTIFICADO Using configurationfrom /etc/openvpn/2.0/openssl.cnf The Subject's Distinguished Name is as follows countryName :PRINTABLE:'BR' stateOrProvinceName :PRINTABLE:'SP' localityName :PRINTABLE:'SaoPaulo' organizationName :PRINTABLE:'DEXTER' organizationalUnitName:PRINTABLE:'DEXTER' commonName :PRINTABLE:'server' emailAddress :IA5STRING:'root@dexter.com.br' Certificate is to be certified until Jun 25 01:31:25 2021 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated www.4linux.com.br 23 / 34
  • 24.
    GERANDO CERTIFICADO Liste oconteúdo do subdiretório keys e verifique o arquivo de certificado do servidor (server.csr), o arquivo da chave do servidor (server.key) e o certificado auto assinado (server.crt). Gerando parâmetros Diffie-Hellman Os parâmetros Diffie-Hellman são utilizados para a troca das chaves criptografadas durante a execução do OpenVPN. Use o script abaixo para gerar os parâmetros: # ./build-dh www.4linux.com.br 24 / 34
  • 25.
    CONFIGURANDO O SERVIDOR Listeo conteúdo do subdiretório keys e verifique o arquivo com os parâmetros Diffie-Hellman (dh2048.pem). Configurando o servidor OpenVPN Com os certificados e chaves gerados, abra o arquivo do servidor e adicione as opções abaixo: # vim /etc/openvpn/server.conf www.4linux.com.br 25 / 34
  • 26.
    CONFIGURANDO O SERVIDOR #vim /etc/openvpn/server.conf dev tun ifconfig 10.0.0.1 10.0.0.2 port 5000 comp-lzo verb 4 keepalive 10 120 persist-key persist-tun float user nobody group nogroup tls-server tls-auth chave 0 www.4linux.com.br 26 / 34
  • 27.
    CONFIGURANDO O SERVIDOR Continuação: #vim /etc/openvpn/server.conf ca 2.0/keys/ca.crt cert 2.0/keys/server.crt key 2.0/keys/server.key dh 2.0/keys/dh2048.pem cipher DES-EDE3-CBC www.4linux.com.br 27 / 34
  • 28.
    CONFIGURANDO O CLIENTE Aindana máquina servidor crie a chave e o certificado para a máquina cliente, com o hostname da maquina cliente. # cd /etc/openvpn/2.0 # ./build-key client Country Name (2 letter code) [BR]:BR State or Province Name (full name) [SP]:SP Locality Name (eg, city) [SaoPaulo]:SaoPaulo Organization Name (eg, company) [DEXTER]:DEXTER Organizational Unit Name (eg, section) []:DEXTER Common Name (eg, your name or your server's hostname) [client]: Name []: Email Address [root@dexter.com.br]:root@dexter.com.br www.4linux.com.br 28 / 34
  • 29.
    CONFIGURANDO O CLIENTE TheSubject's Distinguished Name is as follows countryName :PRINTABLE:'BR' stateOrProvinceName :PRINTABLE:'SP' localityName :PRINTABLE:'SaoPaulo' organizationName :PRINTABLE:'DEXTER' organizationalUnitName:PRINTABLE:'DEXTER' commonName :PRINTABLE:'client' emailAddress :IA5STRING:'root@dexter.com.br' Certificate is to be certified until Jun 25 01:51:26 2021 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated www.4linux.com.br 29 / 34
  • 30.
    CONFIGURANDO O CLIENTE Façaa copia dos arquivos abaixo via ssh para a máquina cliente. # cd /etc/openvpn/2.0/keys # scp client.key client.crt ca.crt root@IP_DO_CLIENTE:/etc/openvpn www.4linux.com.br 30 / 34
  • 31.
    CONFIGURANDO O CLIENTE #vim /etc/openvpn/client.conf dev tun ifconfig 10.0.0.2 10.0.0.1 remote 192.168.200.1 port 5000 comp-lzo verb 4 keepalive 10 120 persist-key persist-tun float user nobody group nogroup ns-cert-type server www.4linux.com.br 31 / 34
  • 32.
    CONFIGURANDO O CLIENTE Continuação: #vim /etc/openvpn/client.conf tls-client tls-auth chave 1 ca ca.crt cert client.crt key client.key cipher DES-EDE3-CBC www.4linux.com.br 32 / 34
  • 33.
    CONFIGURANDO O CLIENTE Descriçãodas novas opções utilizadas: ns-cert-type → Indica que certificado foi assinado pelo servidor; tls-client → Habilita conexão TLS, ajudando a bloquear ataques DoS e flooding na porta do OpenVPN. No servidor: # /etc/init.d/openvpn start Depos no cliente: # /etc/init.d/openvpn start www.4linux.com.br 33 / 34
  • 34.
    CHECANDO CONEXÃO No servidor: #ifconfig tun0 Link encap:Não Especificado Endereço de HW 00- 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet end.: 10.0.0.1 P-a-P:10.0.0.2 Masc:255.255.255.255 No cliente: # ifconfig tun0 Link encap:Não Especificado Endereço de HW 00- 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet end.: 10.0.0.2 P-a-P:10.0.0.1 Masc:255.255.255.255 www.4linux.com.br 34 / 34