Criptare OpenVPN. Selectarea unei metode de criptare pentru OpenVPN Folosind token-uri pe client
Criptare OpenVPN
OpenVPN este o soluție software open source concepută pentru a implementa rețele private virtuale - tuneluri criptate securizate pentru transmiterea informațiilor printr-o rețea „periculoasă” - Internet.
OpenVPN folosește biblioteca OpenSSL pentru a cripta datele. Acesta este un set de soluții criptografice gata făcute, cu capacitatea de a crea chei de criptare și de a lucra cu certificate. Biblioteca are un deschis sursăși este compatibil cu multe sisteme de operare.
Când stabiliți conexiuni securizate, puteți utiliza două metode de criptare OpenVPN - simetrică și asimetrică. Diferența dintre ele este crearea și utilizarea cheilor de criptare și decriptare.
- Criptare simetrică implică utilizarea aceleiași chei pentru criptare și decriptare. Cheia trebuie să fie generată de nodul de transmisie și distribuită tuturor celorlalți printr-un canal încă nesecurizat. Rămâne riscul interceptării cheilor și scurgerii ulterioare de date.
- La criptare asimetrică Criptarea folosește o cheie, iar decriptarea este posibilă numai folosind o altă cheie diferită. Stabilirea unei conexiuni prin rețea deschisă Se transmite doar cheia de criptare generată de partea care primește. Interceptarea acestei chei face imposibil ca un atacator să decripteze datele, iar cheia de decriptare nu intră deloc în rețea.
OpenVPN este compatibil cu multe sisteme de operare. Firewall-urile hardware bazate pe OpenVPN se caracterizează printr-o toleranță ridicată la erori. Dacă se pierde conexiunea la rețea, conexiunea securizată este reluată automat de către server după restabilirea canalului de comunicare. Datorită bibliotecii OpenSSL, securitatea conexiunii este ridicată. OpenVPN este gratuit și open source, permițând dezvoltatorului să-și gestioneze și să-și îmbunătățească propria funcționalitate.
> > Nu un derivat, ci o cheie aleatoare care este generată chiar în timpul
>> sesiune. Criptarea asimetrică consumă inutil resurse, deci datele
>> sesiunile nu sunt criptate cu el. Criptează doar etapa de schimb de sesiuni
> > cheie de criptare simetrică. Criptare suplimentară a sesiunii
> > are loc fără participarea cheilor de criptare asimetrice.
>
> După cum am înțeles, atunci când un client se conectează la openvpn, folosind x.509
> se intampla:
>
> 1. „Utilizați” „tls-auth ta.key” pentru „pentru a preveni atacurile DoS și
> UDP port flooding", care este stocat atât pe server, cât și pe client. (cum
> folosit? Algoritmul nu este încă clar.)
> 2. Autorizare folosind x.509 (cheile x.509 nu sunt folosite în niciun fel pentru criptare
> trafic). Clientul verifică dacă certificatul său și certificatul clientului sunt semnate
> un CA și faptul că certificatul client nu este pe lista de revocări (dacă
> --crl-verify opțiuni).
> 3. Trimiterea către client a unui derivat al dh dh2048.pem închis (care,
> spre deosebire de ta.key este stocată doar pe server) cheia publică care
> folosit pentru criptarea asimetrică(!), pentru trimiterea datelor de sesiune
> cheie.
> 4. Generarea unei chei simetrice de sesiune arbitrară de către server
> (aparent de către server, deoarece clientului nu i se cere să aibă biblioteca openssl?)
Trebuie sa.
> și transmiterea acestuia către client.
>
> Este aceasta înțelegerea corectă?
Mai precis, va spune Vitus, s-a urcat acolo. Dar din câte înțeleg, principiu general -
clientul și serverul sunt autorizați reciproc în timpul procesului de stabilire a conexiunii TLS și
deja printr-un canal criptat stabilit ei sunt de acord asupra funcționării efective
cheie, precum și parametrii tunelului (adrese, rutare etc.).
Mai departe. Nu voi spune imediat cât de exact folosește OpenVPN DH, dar este
În principiu, nu este folosit pentru criptare. Nu poti. Este folosit pentru
generarea unei chei comune de către ambele părți fără a trimite efectiv cheia.
În principiu, această cheie publică poate fi apoi utilizată pentru a redirecționa „lucrătorul”
cheie (acest lucru se întâmplă în S/MIME, dacă utilizați algoritmi GOST - este ca
ori o schemă similară), sau este posibil - pentru generarea separată a tastelor de lucru
ambele părți (acest lucru se întâmplă în TLS). Din câte îmi pot imagina, opțiunea
cu trimiterea unei chei de lucru cu un DH „cinstit” nu este folosit nicăieri. În S/MIME cu
GOST este folosit din motivele pentru care nu avem un analog direct al RSA, dar
aplicațiile existente pur și simplu nu știu cum să o facă în alt mod. Prin urmare este necesar
dificil cu o cheie efemeră și criptarea unei chei de lucru pe una asociată.
>> OpenVPN folosește biblioteca OpenSSL. Cred că documentația
>> trebuie să sapi acolo.
>
> Poate cineva să recomande un document scurt, dar profund (rus/eng) de la
> seria „cum funcționează” (și nu „ce trebuie făcut pentru ca acesta să funcționeze”)?
Mai întâi trebuie să luați o descriere a protocolului OpenVPN. Acesta este un rahat non-standard
așa că trebuie să te uiți în docul lui. Unde va trimite la TLS - luați RFC
pe TLS :-) Ei bine, mai departe după gust, până la „Criptografie aplicată”.
--
Artem Chuprina
RFC2822:
“APROBAT SEIU.00022-01 31 01 - LU Sub. și data INSTRUMENTUL DE PROTECȚIE A INFORMAȚIILOR CRIPTOGRAFICE MagPro OpenVPN-GOST ver. 1.0 Reciproc Nr inventar..."
APROBAT
SEIU.00022-01 31 01 - LU
Subp. și data
INSTRUMENT DE PROTECȚIA INFORMAȚIILOR CRIPTOGRAFICE
MagPro OpenVPN-GOST ver. 1.0
În schimb. Nr. inv. Nu. duplicat
Ghidul administratorului de sistem
SEIU.00022-01 31 01
Foile 138
Nr. inv. sub. Subp. și data
adnotare
Acest document conține ghidul administratorului de sistem pentru lucrul cu CIPF
„MagPro OpenVPN-GOST”.
„MagPro” este o marcă înregistrată a Cryptocom LLC.
SEIU.00022-01 31 01 3 Cuprins 1 INTRODUCERE 7 2 INSTALARE MagPro OpenVPN-GOST 8
2.1 Note Linux (folosind un RPM)........................................... 8
2.2 Note despre Linux (fără RPM)........................................... 8
2.3 Note FreeBSD................................................. 8
2.4 Note pe Windows................................................. 8 2.4.1 Instalarea MagPro OpenVPN-GOST sub Windows pentru a rula de către utilizatori care nu au drepturi administrative .. 9 2.4.2 Control asupra serviciului MagPro OpenVPN-GOST din interfața grafică MagPro OpenVPN-GOST.... ..... ............. 9 2.4.3 Windows „Run as”................................. .......... .... 10 2.4.4 Crearea pictogramei Run As în Windows 2000.................. 10 2.4.5 Crearea pictogramei Pictograma Rulați ca în Windows XP ............. 10 2.4.6 Lansarea MagPro OpenVPN-GOST sub Windows .............. .. 10
3 ALEGEREA ÎNTRE VPN RUTATE ȘI PUNTE 12
4 IMPOSIBILITATEA MagPro OpenVPN-GOST PRIN PROTOCOL UDP 14 5 NUMEROAREA SUBNETELELOR PRIVATE 156 INSTALAREA PROPRIULUI CENTRUL DE CERTIFICARE
(CA) ȘI CREAREA CERTIFICATELOR ȘI CHEILOR PENTRU SERVERUL MagPro
OpenVPN-GOST și mai mult de un client 166.1 Introducere.................................................... 16
6.2 Generarea unui certificat autosemnat și a unei chei de autoritate de certificare.. 17
– – –
13 CONFIGURAREA REGULILOR ŞI POLITICILOR SPECIFICE CLIENTULUI
ACCES 3614 UTILIZAREA METODELOR DE AUTENTIFICARE ALTERNATIVE 38
14.1 Utilizarea pluginurilor de script................................... 38
14.2 Utilizarea obiectelor acces public sau DLL-uri ca pluginuri..... 38
14.3 Utilizarea autentificarea de conectare și parolă ca singura formă de autentificare a clientului............................... ............... 39
– – –
1 INTRODUCERE MagPro OpenVPN-GOST este un VPN complet bazat pe SSL care implementează o extensie a securității rețelei OSI layer 2 sau 3 folosind protocolul SSL/TLS standard din industrie, acceptă metode flexibile de autentificare bazate pe certificate și/sau login/parolă, și vă permite să utilizați personalizat sau politici de grup controlul accesului folosind regulile firewall care se aplică interfeței virtuale VPN. MagPro OpenVPN-GOST nu este un server proxy de rețea și nu funcționează printr-un browser web.
MagPro OpenVPN-GOST oferă un mod scalabil client/server, permițând mai multor clienți să se conecteze la același proces de server MagPro OpenVPN-GOST printr-un singur port TCP.
Acest document oferă instrucțiuni pas cu pas pentru configurarea MagPro OpenVPN-GOST.
– – –
2 INSTALARE MagPro OpenVPN-GOST Fișierele executabile MagPro OpenVPN-GOST trebuie instalate atât pe mașina client, cât și pe server, deoarece aceleași fișiere executabile oferă atât funcții client, cât și funcții server.
2.1 Note Linux (folosind un RPM) Dacă utilizați distribuție Linux care acceptă pachete RPM (SuSE, Fedora, Redhat etc.), ar trebui să instalați OpenVPN MagPro folosind acest mecanism. Pentru a face acest lucru, trebuie să utilizați binarul existent Fișier RPM pentru distribuirea dvs. Odată ce aveți fișierul .rpm, îl puteți instala folosind comanda normală rpm -ivh openvpn-2.1_i386.rpm sau rpm -ivh openvpn-2.1_x86_64.rpm sau actualizați o instalare existentă folosind rpm -Uvh openvpn-2.1_i386.rpm .rpm sau rpm -Uvh openvpn-2.1_x86_64.rpm
Instalarea MagPro OpenVPN-GOST dintr-un pachet RPM binar are trei dependențe:
2.2 Note despre Linux (non-RPM) Dacă utilizați Debian sau o distribuție Linux non-RPM, utilizați un mecanism de pachete specific distribuției dvs., cum ar fi apt-get pentru Debian.
2.3 Note despre FreeBSD Instalarea MagPro OpenVPN-GOST pe acest tip sistemul se realizează prin instalarea pachetelor binare.
2.4 Note despre Windows Rețineți că MagPro OpenVPN-GOST va funcționa numai pe Windows 2000 sau o versiune ulterioară.
Vă rugăm să rețineți, de asemenea, că MagPro OpenVPN-GOST trebuie instalat și rulat de un utilizator cu privilegii administrative (această limitare este determinată de Windows, nu de MagPro OpenVPN-GOST). Această limitare poate fi ocolită prin rularea MagPro OpenVPNGOST în fundal ca serviciu, în acest caz, chiar și utilizatorii care nu sunt administratori vor putea accesa VPN-ul odată ce acesta este instalat.
Numărul de serie al modificării Semnătura persoanei responsabile pentru Data modificării SEIU.00022-01 31 01 9 2.4.1 Instalarea MagPro OpenVPN-GOST sub Windows pentru lansare de către utilizatorii care nu au drepturi administrative B pachet de instalare MagPro OpenVPN-GOST include un mic shell de servicii. Acest serviciu pur și simplu rulează toate fișierele de configurare pe care le găsește în directorul OpenVPN\config. Dacă doriți ca tunelul dvs. MagPro OpenVPN-GOST să funcționeze întotdeauna, indiferent dacă sunteți conectat sau nu, puteți configura pur și simplu serviciul MagPro OpenVPN-GOST să pornească automat când Pornire Windows. Dar poate fi mai convenabil să porniți și să opriți tunelul după bunul plac, ceea ce puteți face prin pornirea și oprirea serviciului.
Dezavantajul major al acestei metode este că nu există nicio modalitate de a furniza serviciului MagPro OpenVPN-GOST parola care a fost folosită pentru a cripta cheia privată. Aceasta înseamnă că trebuie să utilizați o cheie privată necriptată. Pentru a evita nevoia de a stoca cheia privată neprotejată pe hard disk, ar trebui să o importați în depozitul de certificate MS și să utilizați opțiunea cryptoapicert pentru a o încărca. Amintiți-vă că serviciul funcționează ca sistem local(implicit), deci trebuie să importați cheia și certificatul în contul de sistem, nu în contul dvs. de utilizator.
De obicei, pornirea și oprirea unui serviciu necesită drepturi de administrator, dar puteți acorda unui utilizator standard dreptul de a controla un serviciu individual. Acest lucru se face folosind utilitarul subinacl.exe inclus în Kitul de resurse Windows.
Pentru a acorda utilizatorului John dreptul de a porni și de a dezactiva serviciul MagPro
OpenVPN-GOST, conectați-vă ca administrator și rulați următoarea comandă:
subinacl /SERVICE "OpenVPNService" /GRANT=john=TO 2.4.2 Control asupra serviciului MagPro OpenVPN-GOST din interfața grafică MagPro OpenVPN-GOST Instalarea implicită a interfeței grafice MagPro OpenVPN-GOST nu vă oferă posibilitatea de a controla serviciul MagPro OpenVPN-GOST. Există două moduri de a face acest lucru. Dacă lucrați ca administrator și doriți doar o modalitate convenabilă de a controla serviciul MagPro OpenVPN-GOST, puteți face acest lucru prin meniul ascuns.
Pentru a face acest lucru, trebuie să setați următoarea valoare a registrului la 1:
HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI\allow_service Există modul special„Numai servicii”, potrivit pentru utilizatorii care lucrează fără drepturi de administrator. Acest mod modifică comportamentul acțiunilor Conectare și Deconectare, astfel încât acestea să pornească și să oprească serviciul MagPro OpenVPN-GOST în loc să lanseze direct openvpn.exe, ca de obicei. De asemenea, ascunde meniul Setări proxy, deoarece nu afectează serviciul.
Pentru a activa acest mod, setați următoarea valoare a registrului la 1:
HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI\service_only De asemenea, amintiți-vă că un utilizator obișnuit nu are permisiunea de scriere în directorul OpenVPN\config, așa că nu va putea edita fișierul de configurare MagPro OpenVPN-GOST sau își va schimba parola decât dacă îi oferiți permisiunea de scriere pentru aceste fișiere.
Pentru a ascunde aceste elemente de meniu, setați următoarele valori inregistreaza-te la 0:
HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI\allow_edit HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI\allow_password Numărul de serie al modificării Semnătura persoanei responsabile pentru Data modificării SEIU.00022-01 31 01 10 Windows „2.4.
Începând cu Windows 2000, este posibil să rulați o aplicație ca alt utilizator decât cel conectat în prezent. Cel mai bun mod folosiți această oportunitate în acest caz - lansând interfața grafică MagPro OpenVPN-GOST. Deoarece interfața grafică funcționează ca administrator, în timp ce rulează, orice număr de tuneluri MagPro OpenVPN-GOST pot fi deschise și închise.
Rețineți că, prin utilizarea acestei funcții, oferiți utilizatorilor posibilitatea de a-și extinde drepturile de administrare. Dacă nu doriți ca mașina să funcționeze sub un administrator, pentru a vă proteja împotriva cod rău intenționat din rețeaua care rulează cu drepturi de administrator, atunci aceasta poate fi o modalitate bună, dar dacă utilizatorilor dvs. nu li se permite în niciun caz să ruleze aplicații cu drepturi de administrator, NU ar trebui să utilizați această metodă de lucru cu GUI MagPro OpenVPN-GOST!
Când instalați GUI, asigurați-vă că dezactivați opțiunea AutoStart OpenVPN GUI, deoarece va trebui să creați pictograma de lansare manual.
2.4.4 Crearea pictogramei Run As în Windows 2000
– Bifați caseta de selectare Executare ca alt utilizator.
2.4.5 Crearea unei pictograme Run As în Windows XP
– Creați o pictogramă obișnuită pentru openvpn-gui.exe (c:\program files\openvpn\bin\openvpn-gui.exe) pe desktop.
– Faceți clic dreapta pe pictogramă și selectați Proprietăți.
– Faceți clic pe Avansat...
– Bifați caseta de selectare Run with different credentials.
Când dai clic dublu click faceți clic pe această pictogramă, va apărea o fereastră în care va trebui să introduceți login-ul și parola pentru utilizatorul în numele căruia doriți să lansați interfața grafică. Dacă doriți să pornească automat când vă conectați, mutați această pictogramă în directorul Startup din meniul Start-Programs. Apoi, vi se va solicita direct autentificarea și parola de fiecare dată când vă conectați.
2.4.6 Lansarea MagPro OpenVPN-GOST sub Windows După ce finalizați instalarea, MagPro OpenVPN-GOST este gata de utilizare și este asociat fișierelor cu extensia .ovpn. Pentru a rula MagPro OpenVPN-GOST, puteți:
– – –
– Faceți clic dreapta pe fișierul de configurare MagPro OpenVPN-GOST (.ovpn) și selectați Start OpenVPN cu acest fișier de configurare. Pentru a ieși, puteți folosi tasta F4.
– Lansați MagPro OpenVPN-GOST din linia de comandă șiruri de ferestre cu o comandă de genul:
openvpn myconfig.ovpn OpenVPN-GOST, lansat din fereastra liniei de comandă MagPro, poate fi dezactivat apăsând F4.
– Lansați MagPro OpenVPN-GOST ca serviciu plasând unul sau mai multe fișiere de configurare .ovpn în directorul \Program Files\OpenVPN\config și lansând serviciul MagPro OpenVPN-GOST, care poate fi controlat din Meniul Start - Instrumente de administrare a panoului de control - Servicii.
Numărul de ordine al modificării Semnătura persoanei responsabile de Data modificării modificării SEIU.00022-01 31 01 12
3 ALEGEREA ÎNTRE VPN RUTATE ȘI VPN
TIP „POD”.Rutarea și crearea de punte sunt două moduri de a conecta sistemele printr-un VPN.
Când un client se conectează la o rețea la distanță printr-un VPN conectat, i se atribuie o adresă IP care face parte din rețeaua fizică la distanță. Rețele Ethernet, iar apoi poate comunica cu alte mașini din rețeaua de la distanță ca și cum ar fi conectate local.
Setările VPN prin punte necesită un instrument special, în funcție de sistem de operare pentru a asocia un adaptor de subrețea Ethernet cu un dispozitiv virtual în stil TAP.
De exemplu, pentru Linux un astfel de instrument este brctl. Pe Windows XP și mai sus, selectați adaptorul TAP-Win32 și adaptorul de rețea Ethernet din Panou de control-Conexiuni de rețea, apoi faceți clic dreapta și selectați Bridge Connections.
Când un client se conectează printr-un VPN direcționat, folosește propria sa subrețea separată, iar rutele sunt stabilite atât pe mașina client, cât și pe gateway-ul de la distanță pentru a permite pachetelor de date să treacă fără probleme prin VPN. Aici clientul nu este neapărat aceeași mașină; poate fi o subrețea a mai multor mașini.
Rutarea și bridge-ul sunt foarte asemănătoare din punct de vedere funcțional, diferența importantă fiind că un VPN rutat nu permite transmisiile IP să treacă, în timp ce un VPN cu punte o face.
Aceste tipuri de VPN implică utilizarea diferitelor adaptoare. Atingeți dispozitivul
Adaptor de rețea Ethernet virtual, dispozitiv TUN - conexiune IP virtuală punct la punct.
Când utilizați un VPN cu punte, ar trebui să utilizați întotdeauna -dev tap la ambele capete ale conexiunii. Dacă utilizați un VPN direcționat, puteți utiliza atât -dev tap, cât și -dev tun, dar trebuie să utilizați același lucru la ambele capete ale conexiunii.
Dev tun este o opțiune puțin mai eficientă pentru cazul de rutare.
Avantajele unui VPN bridge:
– Nu este nevoie să configurați aserțiunile de rutare.
– Funcționează cu orice protocol care poate funcționa pe o rețea Ethernet, inclusiv IPv4, IPv6, Netware IPX, AppleTalk etc.
– O soluție relativ ușor de configurat.
Dezavantajele VPN-urilor cu punte:
– Mai puțin eficient decât rutarea și nu se scalează bine.
Avantajele VPN rutate:
– Eficiență și scalabilitate
– Permite setare mai buna MTU pentru eficiență.
Dezavantajele VPN rutate:
– Clienții trebuie să utilizeze un server WINS (cum ar fi Samba) pentru a permite navigarea în rețea prin VPN să funcționeze.
– Rutele care conectează fiecare subrețea trebuie configurate.
– Software, în funcție de transmisii, nu va „vedea” mașinile de pe cealaltă parte a VPN-ului.
Numărul de ordine al modificării Semnătura persoanei responsabile de Data introducerii modificării modificării SEIU.00022-01 31 01 13
– Funcționează în principal numai cu IPv4 și cu IPv6 în cazurile în care driverele de reglare de la ambele capete ale conexiunii îl acceptă efectiv.
În general, rutarea este probabil cea mai buna alegere pentru majoritatea utilizatorilor, deoarece este mai eficient și mai ușor de configurat (cum ar fi configurația MagPro OpenVPN-GOST în sine). Rutarea oferă, de asemenea, o capacitate mai mare de a controla selectiv drepturile de acces pe o bază specifică clientului.
1. VPN trebuie să funcționeze cu protocoale non-IP, cum ar fi IPX
2. Rulați aplicații printr-un VPN care se bazează pe releu de rețea (cum ar fi jocurile online)
3. Ați dori să puteți căuta resurse partajate printr-un VPN fără a instala un server Samba sau WINS.
Numărul de serie al modificării Semnătura persoanei responsabile pentru Data modificării SEIU.00022-01 31 01 14 4 IMPOSIBILITATEA OPERAȚIUNII Software MagPro OpenVPN-GOST
PROTOCOL UDP
Trebuie avut în vedere faptul că, datorită specificului RFC4357 (http://www.ietf.org/rfc/rfc4357.txt) această implementare a MagPro OpenVPNGOST (în general, ca orice altă implementare a MagPro OpenVPN-GOST), nu va funcționa conform UDP.– – –
5 NUMEROAREA SUBNETELELOR PRIVATE
Configurarea unui VPN necesită adesea conectarea subrețelelor private din diferite locații.IANA a rezervat următoarele trei blocuri de spațiu de adrese IP pentru rețelele private (codificate în RFC 1918):
– – –
172.16.0.0 172.31.255.255 (prefixul 172.16/12) 192.168.0.0 192.168.255.255 (prefixul 192.168/16) În timp ce adresele din aceste blocuri ar trebui să fie utilizate în mod normal, este important să minimizeze posibilitățile de configurare a adreselor IP pentru a alege adresele IP, în mod normal, este important să se reducă posibilitățile de alegere a adreselor VPN. adrese sau subrețele. Tipuri de conflicte de evitat:
– Conflicte între diferite locuri din VPN folosind aceeași numerotare a subrețelelor LAN;
– Conexiuni acces de la distanță din locuri care folosesc subrețele private care sunt în conflict cu subrețelele tale VPN.
De exemplu, să presupunem că utilizați populara subrețea 192.168.0.0/24 ca subrețea LAN privată. Acum încercați să vă conectați la un VPN de la un internet cafe care utilizează aceeași subrețea pentru LAN WiFi. Veți avea o problemă de rutare, deoarece aparatul dvs. nu va înțelege dacă 192.168.0.1 se referă la poarta WiFi locală sau la aceeași adresă de pe VPN.
Ca un alt exemplu, să presupunem că doriți să conectați mai multe puncte împreună folosind un VPN, dar fiecare punct folosește 192.168.0.0/24 ca subrețea LAN. Acest lucru nu va funcționa decât dacă adăugați un strat de traducere NAT suplimentar, deoarece VPN-ul nu va înțelege cum să direcționeze pachetele între mai multe puncte decât dacă acele puncte utilizează o subrețea care le identifică în mod unic.
Cea mai bună soluție este să evitați utilizarea 10.0.0.0/24 sau 192.168.0.0/24 ca adrese de rețea LAN. În schimb, utilizați ceva care este mai puțin probabil să fie utilizat într-o cafenea WiFi, un aeroport sau un hotel unde ați putea dori să configurați accesul de la distanță. Cei mai buni candidați sunt subrețelele din mijlocul blocului mare 10.0.0.0/8 (de exemplu, 10.66.77.0/24).
Pentru a evita conflictele de numere IP între locații, utilizați întotdeauna o numerotare unică pentru subrețelele dvs. LAN.
Numărul de ordine al modificării Semnătura persoanei responsabile de Data introducerii modificării modificării SEIU.00022-01 31 01 16
6 INSTALAREA PROPRIULUI
CENTRUL DE CERTIFICARE (CA) ȘI CREARE
CERTIFICATE ȘI CHEI PENTRU SERVERUL MagPro
OpenVPN-GOST ȘI MAI MULT DE UN CLIENT6.1 Introducere
Primul pas în crearea unei configurații MagPro OpenVPN-GOST este crearea unei PKI (infrastructură cu cheie publică). PKI constă din:
Un certificat separat (cunoscut și ca cheie publică) și cheie privată pentru server și fiecare client și - un certificat CA rădăcină și o cheie care este utilizată pentru a semna fiecare certificat de server și client.
Autentificarea necesită ca clientul să poată autentifica serverul utilizând certificatul acestuia. În plus, vă puteți asigura că serverul poate autentifica clienții folosind certificatele lor. MagPro OpenVPN-GOST acceptă o astfel de autentificare bidirecțională, ceea ce înseamnă că clientul trebuie să autentifice certificatul de server, iar serverul trebuie să autentifice certificatul de client înainte de a se stabili încrederea reciprocă.
Atât serverul, cât și clientul se vor autentifica reciproc verificând mai întâi dacă candidatul prezentat a fost semnat de certificatul CA și apoi testând informațiile din antetul certificatului deja autentificat, cum ar fi numele comun al certificatului sau tipul acestuia (client sau server).
Acest model de securitate are o serie de caracteristici de dorit din perspectiva VPN:
– Serverul are nevoie doar de propriul certificat/cheie - nu are nevoie să cunoască certificatele individuale ale tuturor clienților care s-ar putea conecta la el.
– Serverul va accepta doar clienți ale căror certificate au fost semnate pe certificatul CA (care va fi generat mai jos). Și deoarece serverul poate efectua această verificare a semnăturii fără a fi nevoie să acceseze cheia privată a CA în sine, cheia CA (cea mai sensibilă cheie din întreaga PKI) ar putea fi pe o mașină complet diferită, chiar și pe o mașină fără conexiune la rețea.
– Dacă o cheie privată este compromisă, aceasta poate fi dezactivată prin adăugarea certificatului acesteia la CRL (Certificate Revocation List). CRL permite respingerea selectivă a certificatelor compromise fără a necesita reconstruirea întregului PKI.
– Serverul poate impune drepturi de acces specifice clientului pe baza câmpurilor de certificate interne, cum ar fi numele comun.
Vă rugăm să rețineți că ceasurile serverului și ale clientului trebuie să fie mai mult sau mai puțin sincronizate, altfel certificatele ar putea să nu funcționeze corect.
Numărul de ordine al modificării Semnătura persoanei responsabile de Data introducerii modificării modificării SEIU.00022-01 31 01 17
6.2 Generarea unui certificat autosemnat și a unei chei pentru o autoritate de certificare Pentru a genera un set de chei și certificate necesare pentru ca OpenVPNGOST să funcționeze, vă recomandăm să utilizați setul de utilitare easy-gost sau miniUC furnizat ca parte a setului de distribuție.
Numărul de ordine al modificării Semnătura persoanei responsabile de Data introducerii modificării modificării SEIU.00022-01 31 01 18
7 CREAREA FIȘIERELOR DE CONFIGURARE PENTRU
SERVERE ȘI CLIENȚI
7.1 Obținerea exemplelor de fișiere de configurare
Cel mai bine este să folosiți exemple gata făcute de fișiere de configurare MagPro OpenVPNGOST ca punct de plecare pentru propria dvs. configurație. Aceste fișiere pot fi găsite în:
(Pe Windows) C:\Program Files\OpenVPN\samples (Pe sisteme asemănătoare Unix) Depinde de sistem, dar cel mai adesea pe Linux în directorul /etc/openvpn/ și pe FreeBSD în /usr/local/etc Directorul /openvpn Rețineți că pe sistemele de operare Linux, BSD sau Unix, exemple de fișiere de configurare se numesc server.conf și client.conf. Pe Windows se numesc server.ovpn și client.ovpn.
7.2 Server de editare Fișier de configurare Un exemplu de fișier de configurare a serverului este punctul de plecare ideal pentru configurarea serverului MagPro OpenVPN-GOST. Acesta va crea un VPN utilizând interfața de rețea virtuală TUN (pentru rutare), va asculta conexiunile clienților pe portul tcp 1194 (numărul de port rezervat VPN) și va distribui adrese virtuale clienților care se conectează din subrețeaua 10.9.1.0/24. .
Înainte de a utiliza exemplul de fișier de configurare, trebuie să editați mai întâi parametrii ca, cert și cheie pentru a indica fișierele pe care le-ați generat mai devreme.
Configurația serverului este acum utilizabilă, dar poate doriți să o modificați în continuare.
1. Dacă utilizați un VPN bridge, ar trebui să utilizați server-bridge și dev tap în loc de server și dev tun.
2. Dacă doriți să utilizați un alt set de adrese IP virtuale decât 10.9.1.0/24, ar trebui să modificați directiva serverului. Rețineți că acest set de adrese virtuale trebuie să fie un set privat care nu este utilizat în rețeaua dvs.
3. Adăugați o directivă client-la-client dacă doriți ca clienții conectați să se poată vedea între ei prin VPN. În mod implicit, clienții pot vedea doar serverul.
4. Dacă utilizați Windows, trebuie să comentați directivele utilizatorului nimeni și gruparea nimeni.
Dacă doriți să rulați mai multe instanțe ale MagPro OpenVPN-GOST pe aceeași mașină, fiecare cu propriul fișier de configurare, acest lucru este posibil dacă:
1. utilizați un număr de port separat pentru fiecare instanță.
2. Dacă utilizați Windows, fiecare configurație MagPro OpenVPN-GOST trebuie să folosească propriul adaptor TAP-Win32. Puteți adăuga adaptoare suplimentare în Meniul Start - Toate programele - MagPro OpenVPN-GOST - Adăugați un nou adaptor ethernet virtual TAP-Win32.
3. Dacă rulați mai multe instanțe ale MagPro OpenVPN-GOST din același director, asigurați-vă că editați directivele care creează fișierele de ieșire, astfel încât instanțe diferite să nu suprascrie fișierele de ieșire ale altora. Aceste directive includ log, log-append și stare.
Numărul de ordine al modificării Semnătura persoanei responsabile de Data introducerii modificării modificării SEIU.00022-01 31 01 19
7.3 Editarea fișierelor de configurare client Exemplul de configurare client (client.conf pe Linux/BSD/Unix sau client.ovpn pe Windows) reflectă directivele implicite stabilite în exemplul de fișier de configurare a serverului.
1. Ca și în cazul fișierului de configurare a serverului, mai întâi editați parametrii ca, cert și cheie, astfel încât să indice fișierele pe care le-ați creat mai devreme. Rețineți că fiecare client trebuie să aibă propria sa pereche certificat/cheie. Doar fișierul ca este universal pentru serverul MagPro OpenVPN-GOST și toți clienții.
2. Apoi, editați directiva de la distanță astfel încât să indice numele de gazdă/adresa IP și numărul portului serverului MagPro OpenVPN-GOST (dacă serverul dvs. MagPro OpenVPNGOST va rula pe o mașină cu un adaptor de rețea în spatele unui firewall/NATgate, utilizați o poartă de adresă IP publică și un număr de port pe care le-ați configurat pentru poarta pentru redirecționarea către serverul MagPro OpenVPN-GOST).
3. În cele din urmă, asigurați-vă că fișierul de configurare a clientului se potrivește cu directivele din fișierul de configurare a serverului. Cel mai important lucru este să verificați dacă directivele dev (tun sau tap) și proto (tcp) se potrivesc. De asemenea, asigurați-vă că comp-lzo și fragment, dacă sunt utilizate, sunt prezente atât în fișierele de configurare ale serverului, cât și ale clientului.
Numărul de ordine al modificării Semnătura persoanei responsabile de Data introducerii modificării modificării SEIU.00022-01 31 01 20
8 PORNIRE VPN ȘI TESTARE INIȚIALĂ
CONECTIVITATE
8.1 Pornirea serverului În primul rând, asigurați-vă că serverul MagPro OpenVPN-GOST va fi accesibil de pe Internet. Acest lucru înseamnă:
– Deschideți portul TCP 1194 pe firewall (sau orice alt port TCP pe care l-ați configurat) sau
– Configurați o regulă de redirecționare a portului pentru a redirecționa portul TCP 1194 de la firewall/poarta la mașina pe care rulează serverul MagPro OpenVPN-GOST.
Pentru a facilita găsirea erorilor, este mai bine să porniți mai întâi serverul MagPro OpenVPN-GOST din linia de comandă (sau să faceți clic dreapta pe fișierul .ovpn din Windows) și să nu îl rulați ca demon sau serviciu:
Pornirea normală a serverului Openvpn ar trebui să arate cam așa (ieșirea poate varia pe diferite sisteme de operare):
Duminica 6 februarie 20:46:38 2005 OpenVPN 2.1 i686-suse-linux construit pe 5 februarie 2005 Duminica 6 februarie 20:46:38 2005 Diffie-Hellman inițializat cu cheie de 1024 de biți
Duminica 6 februarie 20:46:38 2005 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0
ET:0 EL:0 ] Duminica 6 februarie 20:46:38 2005 Dispozitiv TUN/TAP tun1 deschis Duminica 6 februarie 20:46:38 2005 /sbin/ifconfig tun1 10.9.0.1 pointopoint 10.9.0.2 mtu 1500 Duminica: 6 februarie 2005 46:38 2005 /sbin/route add -net 10.9.0.0 netmask 255.255.255.0 gw 10.9.0.2 Sun Feb 6 20:46:38 2005 Data Channel MTU parms [ L:1542 D:1450 EF:242:EB:23 0 EL:0 AF:3/1 ] Duminica 6 februarie 20:46:38 2005 Legătura UDPv4 locală (legat): :1194 Duminica 6 februarie 20:46:38 2005 Legătura UDPv4 la distanță: Duminica 6 februarie 20:46:38 2005 MULTI: multi_init apelat, r=256 v=256 Sun Feb 6 20:46:38 2005 IFCONFIG POOL: base=10.9.0.4 size=62 Sun Feb 6 20:46:38 2005 IFCONFIG POOL LIST Dumi Feb 6 20:46: 38 2005 Secvență de inițializare finalizată
8.2 Lansarea clientului Ca și în cazul configurației serverului, este mai bine să lansați clientul MagPro OpenVPN-GOST din linia de comandă (sau în Windows, faceți clic dreapta pe fișierul client.ovpn), decât să îl rulați ca un demon sau serviciu:
openvpn O pornire normală a clientului pe Windows va fi similară cu rezultatul serverului de mai sus și ar trebui să se încheie cu un mesaj Initialization Sequence Completed.
Numărul de serie al modificării Semnătura persoanei responsabile de Data modificării modificării SEIU.00022-01 31 01 21 Acum încercați să trimiteți un semnal ping prin VPN de la client. Dacă utilizați rutarea (de ex.
dev tun în fișierul de configurare a serverului), încercați:
ping 10.9.
1.0 Dacă utilizați un VPN „punte” (adică atingeți dev în fișierul de configurare a serverului), încercați să trimiteți un semnal ping la adresa IP a unei mașini din subrețeaua rețelei Ethernet a serverului.
Dacă semnalul trece cu succes, felicitări! Acum aveți un VPN funcțional.
8.3 Depanare Dacă semnalul ping nu trece sau inițializarea clientului MagPro OpenVPN-GOST nu se finalizează, iată o listă cu simptomele comune și soluțiile acestora:
1. Primiți un semnal de eroare: Eroare TLS: negocierea cheii TLS nu a reușit să aibă loc în 60 de secunde (verificați conectivitatea la rețea). Această eroare indică faptul că clientul nu a putut stabili o conexiune de rețea cu serverul.
Solutii:
– Asigurați-vă că clientul folosește numele de gazdă/adresa IP și numărul de port corecte care îi vor permite să se conecteze la serverul MagPro OpenVPN-GOST.
– Dacă serverul MagPro OpenVPN-GOST este un computer cu un adaptor de rețea în interiorul unei rețele LAN securizate, asigurați-vă că utilizați regula corectă de redirecționare a portului către firewall-ul serverului. De exemplu, să presupunem că serverul dvs. OpenVPN este pe 192.168.4.4 în interiorul firewall-ului, ascultând conexiunile clientului pe portul TCP 1194. Poarta NAT care deservește subrețeaua 192.168.4.x ar trebui să aibă o regulă de redirecționare a portului care spune „forward TCP-port 1194 de la adresa mea IP publică la 192.168.4.4."
– Deschideți firewall-ul serverului pentru a permite conexiunile de intrare pe portul TCP 1194 (sau orice port TCP pe care l-ați configurat în fișierul de configurare a serverului).
2. Primiți un mesaj de eroare: Secvență de inițializare finalizată cu erori - Această eroare poate apărea pe Windows dacă a) nu aveți un serviciu DHCP disponibil care rulează sau b) utilizați anumite firewall-uri personale terțe pe XP SP2.
Soluție: Porniți serverul pentru clientul DHCP și asigurați-vă că utilizați un firewall personal despre care se știe că funcționează corect pe XP SP2.
3. Primiți un mesaj Initialization Sequence Completed, dar semnalul ping nu trece - aceasta indică de obicei că firewall-ul este pe server sau partea clientului blochează transmisia prin rețeaua VPN prin filtrarea pe interfața TUN/TAP.
Soluție: Dezactivați filtrarea interfeței TUN/TAP pe client în firewall-ul clientului (dacă există). De exemplu, pe Windows XP SP2, puteți face acest lucru accesând Windows Centru de securitate- Windows Firewall - Avansat și debifarea casetei care corespunde adaptorului TAP-Win32 (dezactivarea filtrării adaptorului TUN/TAP în firewall-ul clientului este în general inteligentă din punct de vedere al securității, deoarece în esență îi spuneți firewall-ului să nu blocheze transmisiile VPN autentificate) . De asemenea, asigurați-vă că interfața TUN/TAP de pe server nu este filtrată de firewall (rețineți că blocarea selectivă a interfeței TUN/TAP de pe partea serverului de către un firewall poate avea unele beneficii de securitate.) Modificați numărul de secvență Semnătura persoanei responsabile Data of Change Change CEIU .00022-01 31 01 22 9 CONFIGURARE MagPro OpenVPN-GOST PENTRU
PORNIRE AUTOMATĂ LA PORNIREA SISTEMULUI
Lipsa standardelor în acest domeniu înseamnă că majoritatea sistemelor de operare au mod propriu Configurarea demonilor/serviciilor pentru a rula la pornirea sistemului. Cea mai bună modalitate de a obține această funcționalitate configurată în mod implicit este să instalați MagPro OpenVPN-GOST ca pachet, de exemplu prin RPM pe Linux sau folosind un program de instalare Windows.9.1 Linux Dacă instalați MagPro OpenVPN-GOST printr-un pachet RPM pe Linux, programul de instalare va instala un initscript. Când este executat, initscript va căuta fișiere de configurare .conf în /etc/openvpn și, dacă sunt găsite, va lansa un daemon MagPro OpenVPN-GOST separat pentru fiecare fișier.
9.2 Windows Programul de instalare Windows va instala shell-ul de serviciu, dar îl va lăsa dezactivat în mod implicit. Pentru a-l activa, accesați Panou de control / Instrumente administrative / Servicii, selectați serviciul OpenVPN, faceți clic dreapta pe proprietăți și setați Tipul de pornire la Automat. Acest lucru va configura serviciul să pornească automat la următoarea repornire.
Când este lansat, shell-ul serviciului MagPro OpenVPN-GOST va scana directorul \Program Files\OpenVPN\config în căutarea fișierelor de configurare .ovpn, pornind un proces separat MagPro OpenVPN-GOST pentru fiecare fișier.
Numărul de serie al modificării Semnătura persoanei responsabile pentru Data modificării SEIU.00022-01 31 01 23 10 GESTIONAREA PROCESULUI LANSAT MagPro OpenVPN-GOST
10.1 Lucrul pe Linux/BSD/Unix
MagPro OpenVPN-GOST primește mai multe semnale:
SIGUSR1 - repornire condiționată, concepută pentru a reporni fără privilegii de root SIGHUP - repornire hard SIGUSR2 - statistici de conexiune de ieșire la un fișier jurnal sau syslog SIGTERM, SIGINT - ieșire Utilizați directiva writepid pentru a scrie PID-ul demonului MagPro OpenVPN-GOST într-un fișier, astfel încât să știți unde să trimiteți semnalul (dacă începeți openvpn folosind initscript, scriptul poate transmite deja directiva –writepid către linia de comandă openvpn).
10.2 Lucrul în Windows într-o interfață grafică Deși MagPro OpenVPN-GOST poate fi lansat ca un daemon, serviciu sau din linia de comandă, este posibil să controlați MagPro OpenVPN-GOST printr-o interfață grafică.
10.3 Lucrul în fereastra de linie de comandă Windows În Windows, puteți porni MagPro OpenVPN-GOST făcând clic dreapta pe fișierul de configurare MagPro OpenVPN-GOST (fișier .ovpn) și selectând Start OpenVPN pe acest fișier de configurare.
Dacă MagPro OpenVPN-GOST este lansat în acest fel, sunt disponibile mai multe comenzi de la tastatură:
F1 - repornire condiționată (nu închide/redeschide adaptorul TAP) F2 - arată statisticile conexiunii F3 - repornire greu F4 - ieșire
10.4 Lucrul ca serviciu Windows Când MagPro OpenVPN-GOST este lansat ca serviciu pe Windows, îl puteți gestiona doar:
– Prin intermediul managerului de management al serviciului (Panou de control / Instrumente administrative / Servicii), care face posibilă pornirea și dezactivarea serviciului;
– Prin interfața de control (vezi secțiunea 10.7)
10.5 Modificarea configurației unui server care rulează Deși majoritatea modificărilor de configurare necesită o repornire a serverului, există două directive legate de fișiere care pot fi modificate dinamic în timpul funcționării și care vor afecta imediat serverul fără a fi nevoie să reporniți procesul.
Numărul de serie al modificării Semnătura persoanei responsabile de Data modificării SEIU.00022-01 31 01 24 client-config-dir - această directivă setează directorul de configurare a clientului, pe care MagPro OpenVPN-GOST îl va scana cu fiecare conexiune de intrare în căutarea unui fișier de configurare specific clientului. Fișierele din acest director pot fi modificate în timpul funcționării, fără a reporni serverul. Vă rugăm să rețineți că modificările aduse acestui director vor afecta numai conexiunile noi, nu conexiunile existente. Dacă doriți ca o modificare a unui fișier de configurare specific clientului să aibă un efect imediat asupra unui client care este deja conectat (sau asupra unui client care s-a deconectat deja, dar serverul nu și-a distrus încă instanța), distrugeți instanța client folosind interfață de management (vezi Secțiunea 10.7). Acest lucru va forța clientul să se reconecteze și să folosească noul client-config-dir.
crl-verify - Această directivă denumește lista de revocare a certificatelor, descrisă mai jos în secțiunea Revocare a certificatelor. Fișierul CRL poate fi modificat pe măsură ce treceți, iar modificările vor afecta imediat noile conexiuni sau conexiunile existente care își actualizează canalul SSL/TLS (în mod implicit, acest lucru se întâmplă o dată la oră). Dacă doriți să distrugeți un client conectat al cărui certificat tocmai a fost adăugat la CRL, utilizați interfața de gestionare (consultați Secțiunea 10.7).
10.6 Fișier de stare Fișierul server.conf implicit are o linie de stare openvpn-status.log care va scoate o listă de conexiuni client curente la fișierul openvpn-status.log o dată pe minut.
10.7 Utilizarea interfeței de administrare Interfața de gestionare MagPro OpenVPN-GOST vă permite să gestionați administrativ MagPro OpenVPN-GOST dintr-un program extern printr-un socket TCP.
Interfața a fost special concepută pentru dezvoltatorii GUI și pentru cei care doresc să controleze programatic sau de la distanță demonul MagPro OpenVPN-GOST.
Interfața de management este implementată folosind o conexiune TCP client-server, unde MagPro OpenVPN-GOST va asculta pe adresa IP și portul furnizate pentru conexiunile de gestionare a clienților de intrare.
Protocolul de control este acum bazat pe text, fără un strat de protecție complex. Din acest motiv, se recomandă ca interfața de management să asculte fie pe localhost (127.0.0.1) fie pe adresa VPN locală. Este posibil să vă conectați de la distanță la interfața de gestionare pe lângă VPN-ul în sine, deși unele caracteristici vor fi limitate în acest mod, cum ar fi capacitatea de a furniza parole de la chei private.
Interfața de gestionare este activată în fișierul de configurare MagPro OpenVPN-GOST folosind următoarele directive:
–management-interogare-parole
–management-log-cache Când MagPro OpenVPN-GOST rulează cu stratul de management conectat, vă puteți conecta prin telnet la portul de gestionare (asigurați-vă că utilizați un client telnet care înțelege modul „rough”).
– – –
Odată conectat la portul de gestionare, puteți utiliza comanda help pentru a lista toate comenzile.
10.7.1 Comanda echo Această comandă este utilizată pentru a face posibilă fie introducerea parametrilor specifici interfeței grafice în fișierul de configurare MagPro OpenVPN-GOST, fie transferul parametrilor specifici interfeței grafice către clientul MagPro OpenVPN-GOST de pe server .
Exemple de comenzi:
echo activat - activează notificarea mesajelor în timp real echo echo all - afișează lista istorică curentă echo echo off - dezactivează notificarea mesajelor în timp real ecou pe toate - activează atomic notificarea în timp real, plus arată toate mesajele din memoria tampon de istorie De exemplu, să presupunem că dezvoltați o interfață grafică pentru MagPro OpenVPN-GOST și doriți să oferiți serverului MagPro OpenVPN-GOST capacitatea de a cere interfeței să uite toate parolele salvate.
În fișierul de configurare a serverului MagPro OpenVPN-GOST, adăugați:
push „echo uitați-parole” Când clientul MagPro OpenVPN-GOST primește lista de directive de la server, directiva echo uitați-parole va fi în listă și va determina interfața de management să stocheze șirul de cuvinte uitate în lista sa de echo parametrii.
Clientul de management poate folosi echo all pentru a ieși lista plina parametrii ecou, ecou activat pentru a activa notificarea în timp real a acestor parametri prin prefixul ECHO: sau echo off pentru a dezactiva notificarea în timp real.
Când GUI se conectează la soclul de control MagPro OpenVPNGOST, poate lansa comanda echo all, care va produce rezultate ca:
1101519562,forget-parole END În esență, comanda echo ne-a permis să transmitem parametri de la serverul MagPro OpenVPNGOST către client și apoi către clientul de management (cum ar fi GUI). Număr întreg mare - data/ora Unix la care a fost primit parametrul ecou.
Dacă clientul de management a emis ecou la comandă, acesta va activa notificarea în timp real a parametrilor ecou.
În acest caz, mesajul nostru de uitare a parolelor ar avea rezultat ca:
ECHO:1101519562,uitați parole
La fel ca comanda log, comanda echo poate afișa atomic istoricul în timp ce activează actualizări în timp real:
echo pe toate Dimensiunea tamponului de ecou este în prezent strict limitată la 100 de mesaje.
10.7.2 ieșire, ieșire Comandă Închide sesiunea de gestionare și reia ascultarea conexiunilor de la alți clienți pe portul de gestionare. În prezent, demonul MagPro OpenVPN-GOST poate suporta cel mult un client de management la un moment dat.
– – –
10.7.3 Comanda Ajutor Afișează o listă scurtă de comenzi.
10.7.4 Comanda hold Comanda hold poate fi folosită pentru a manipula steag-ul de reținere sau pentru a elibera MagPro OpenVPN-GOST din starea de reținere.
Dacă indicatorul de reținere este setat la pornirea sau repornirea inițială, OpenVPN MagPro va fi într-o stare înghețată înainte ca tunelul să fie inițializat până când interfața de management primește comanda de eliberare hold.
Directiva MagPro OpenVPN-GOST –management-hold poate fi utilizată pentru a lansa MagPro OpenVPN-GOST cu steag-ul de reținere setat.
Setarea indicatorului de reținere este permanentă și nu va fi comutată de reporniri.
MagPro OpenVPN-GOST va indica faptul că se află în starea de reținere, trimițând o notificare în timp real către clientul de management:
HOLD: Se așteaptă eliberarea suspendării
Exemple de comenzi:
hold - afișează indicatorul de reținere curent, 0=dezactivat, 1=activat.
hold on - activați indicatorul de reținere, astfel încât repornirile viitoare să aibă ca rezultat starea de reținere.
hold off - dezactivați indicatorul de reținere, astfel încât repornirile viitoare să nu aibă ca rezultat starea de reținere.
hold release - ieșiți din starea de reținere și lansați MagPro OpenVPN-GOST, dar nu schimbați starea curentă a steagului hold.
10.7.5 kill Command În modul server, omorâți o anumită instanță client.
Exemple de comenzi:
kill Test-Client - distrugeți o instanță client cu Common Name "Test-Client".
ucide 1.2.
3.4.4000 - distrugeți instanța client cu adresa de ieșire și portul 1.2.3.4.4000.
Utilizați comanda „status” pentru a vedea ce clienți sunt conectați.
10.7.6 Comanda Log Afișează fișierul jurnal MagPro OpenVPN-GOST. Interfața de management memorează în cache doar ultimele n linii ale fișierului jurnal, unde n este controlat de MagPro OpenVPN-GOST - directiva management-log-cache.
Exemple de comenzi:
conectați-vă - Activați jurnalul de ieșire a mesajelor de jurnal în timp real - Afișează istoricul istoric al fișierelor jurnal din cache pe toate - Afișează atomic tot istoricul actual al fișierelor jurnal din cache, apoi activați jurnalul de ieșire a mesajelor jurnal în timp real - Dezactivați notificarea mesajului jurnal în timp real jurnal 20 - arată ultimele 20 de rânduri din istoricul fișierului jurnal
Format de notificare în timp real:
– – –
Mesajele de jurnal în timp real încep cu prefixul LOG:, urmat de câmpuri separate prin virgulă:
1. Data/ora întregului Unix
2. zero sau mai multe semnalizatoare de mesaje pe o linie:
I - informativ F - eroare fatala N - eroare non-fatală W - avertisment D - depanare și
3. textul mesajului.
10.7.7 Comanda mute Modifică parametrul MagPro OpenVPN-GOST –mute. Această opțiune este utilizată pentru a evita afișarea mesajelor duplicate din aceeași categorie de mesaje.
Exemple de comenzi:
mute 40 - setați parametrul mute la 40 mute - afișați valoarea curentă de mute Comanda net 10.7.8 (numai Windows) Oferă rezultatul echivalent al directivei MagPro OpenVPN-GOST –shonet. Ieșirea include o privire MagPro OpenVPN-GOST asupra listei adaptoarelor de rețea de sistem și a tabelului de rutare pe baza informațiilor returnate de API-ul de ajutor IP Windows.
10.7.9 Comanda parolă și nume de utilizator Comanda parolă este utilizată pentru a transfera parolele către MagPro OpenVPN-GOST.
Dacă MagPro OpenVPN-GOST este lansat cu directiva –management-query-parole, acesta va solicita interfeței de administrare parolele cheii private și parola/login –authuser-pass.
Când MagPro OpenVPN-GOST are nevoie de o parolă din interfața de gestionare, afișează mesajul PAROLA: în timp real.
Exemplul 1:
PAROLA: Aveți nevoie de parola „cheie privată” MagPro OpenVPN-GOST indică faptul că are nevoie de o parolă de tip „cheie privată”.
Clientul de management ar trebui să răspundă la această solicitare astfel:
parola „Cheie privată” foo
Exemplul 2:
PAROLA: Aveți nevoie de nume de utilizator/parolă „Auth” MagPro OpenVPN-GOST are nevoie de parola – auth-user-pass.
Clientul de management ar trebui să răspundă:
Nume utilizator „Auth” foo parola „Auth” Bara de autentificare și parola în sine pot fi între ghilimele și Simboluri speciale, cum ar fi ghilimele duble sau barele oblice inverse, trebuie să fie sub secvența de escape, de exemplu:
Numărul de serie al modificării Semnătura persoanei responsabile de Data modificării modificării SEIU.00022-01 31 01 28 parola "Private Key" "foo\"bar" Regulile pentru alcătuirea secvenţelor de evadare sunt aceleaşi ca şi pentru fişierul de configurare.
Tipul de mesaj PAROLA în timp real poate fi folosit și pentru a indica faptul că o parolă este incorectă sau că alte tipuri de autentificare au eșuat:
Exemplul 3: parola cheii private este incorectă și MagPro OpenVPN-GOST se blochează:
PAROLA:Verificarea eșuată: „Cheie privată”
Exemplul 4: autentificare/parolă –auth-user-pass este incorectă și MagPro OpenVPN-GOST iese:
PAROLA:Verificarea eșuată: Comanda de semnal „Auth” 10.7.10 Comanda de semnal trimite un semnal demonului MagPro OpenVPN-GOST. Semnalul poate fi unul dintre SIGHUP, SIGTERM, SIGUSR1 sau SIGUSR2.
Exemplu de comandă:
semnal SIGUSR1 - trimite demonului semnalul SIGUSR1 comanda de stare 10.7.11 Arată starea curentă a MagPro OpenVPN-GOST, arată istoricul stării sau permite notificarea modificărilor de stare în timp real.
Există stări MagPro OpenVPN-GOST:
– CONECTARE - starea inițială MagPro OpenVPN-GOST
– WAIT - (numai client) așteaptă primul răspuns de la server
– AUTH - (numai client) se autentifică pe server
– GET_CONFIG - (numai pentru client) descarcă opțiunile de configurare de pe server.
– ASSIGN_IP - atribuie o adresă IP unei interfețe de rețea virtuală.
– ADD_ROUTES - adaugă rutare la sistem
– CONECTAT - secvența de inițializare este finalizată.
– RECONECTARE - a avut loc o repornire
– IEȘIRE – în curs de ieșire atentă.
Exemple de comenzi:
stare - Afișează starea curentă a MagPro OpenVPN-GOST.
stare activată - activați notificarea în timp real privind schimbările de stare starea dezactivată - dezactivați notificarea în timp real privind modificările stării state toate - afișați starea curentă a istoricului stării 3 - afișați ultimele 3 stări de tranziție de stare pe toate - afișați atomic istoricul stării și la în același timp, permiteți notificarea tranzițiilor viitoare de stare în timp real.
Formatul de ieșire constă din 4 parametri separați prin virgulă:
1. întreg Unix data/ora
2. denumirea statului
3. șir descriptiv opțional (utilizat în principal cu RECONECTARE sau EXITING pentru a arăta motivul deconectarii)
– – –
4. adresa IP locală TUN/TAP opțională (afișată pentru ASSIGN_IP și CONNECTED).
Mesajele de stare în timp real vor fi prefixate cu STATE:.
10.7.12 Stare comandă Afișează informații curente despre starea demonului, în același format ca cel folosit de directiva MagPro OpenVPN-GOST –status.
Exemple de comenzi:
stare - afișează informațiile despre stare folosind versiunea implicită a formatului de stare.
starea 2 - afișați informațiile de stare folosind formatul de stare versiunea 2.
10.7.13 Comanda nume de utilizator Vezi secțiunea 10.7.9.
10.7.14 Verbul de comandă Modifică parametrul MagPro OpenVPN-GOST –verb. Parametrul verb controlează gradul de nivel al ieșirii și poate varia de la 0 (fără ieșire) la 15 (ieșire maximă).
Exemple de comenzi:
verb 4 - modifică parametrul verbului în 4 verb - arată setarea curentă a parametrului verbului 10.7.15 versiunea comandă Afișează versiunile actuale MagPro OpenVPN-GOST și interfață de gestionare.
10.7.16 Comanda auth-retry Setează parametrul auth-retry, care controlează modul în care MagPro OpenVPN-GOST răspunde la erorile de autentificare/parolă.
Exemple de comenzi:
auth-retry interact - nu ieșiți dacă sunt introduse o autentificare și o parolă incorecte.
Solicitați o nouă intrare și încercați din nou.
10.7.17 Format de mesaj în timp real
Interfața de gestionare MagPro OpenVPN-GOST produce două tipuri de rezultate:
1. răspuns la comandă
2. Ieșire asincronă în timp real care poate fi generată în orice moment.
Mesajele în timp real încep cu un caracter în prima coloană, urmat imediat de un cuvânt cheie care indică tipul de mesaj.
În prezent sunt definite următoarele tipuri:
ECHO - mesaje ecou asemănătoare cu cele controlate de comanda ecou Numărul secvenței modificării Semnătura persoanei responsabile de Data modificării modificării SEIU.00022-01 31 01 30 FATAL - eroare fatală, mesajul este afișat imediat în jurnal. înainte de a închide MagPro OpenVPN-GOST.
HOLD - folosit pentru a indica faptul că MagPro OpenVPN-GOST este într-o stare înghețată și nu va începe să funcționeze până când nu primește comanda de eliberare hold.
INFO - mesaje informative, cum ar fi un mesaj de bun venit.
LOG - o ieșire de mesaj de jurnal similară cu cele monitorizate de comanda log PASSWORD - este utilizată pentru a informa clientul de management că OpenVPN necesită o parolă și, de asemenea, pentru a indica că verificarea parolei a eșuat.
STATE - arată starea curentă a MagPro OpenVPN-GOST, similară cu cea controlată de comanda de stat.
10.7.18 Analizarea comenzilor MagPro OpenVPN-GOST folosește același analizor lexical de linie de comandă care este utilizat de parserul de fișiere de configurare MagPro OpenVPN-GOST.
Parametrii sunt separați printr-un spațiu.
Ghilimelele duble ("") pot fi folosite pentru a restricționa parametrii care conțin un spațiu. Secvențele de escape bazate pe bară oblică inversă sunt utilizate cu următoarea simbologie:
\\ - înseamnă un singur caracter bară oblică inversă (\) \" - trece un caracter literal ghilimele duble (") fără a-l interpreta ca o constrângere de parametru \ - trece un spațiu literal sau un caracter tabulator fără a-l interpreta ca un delimitator de parametru.
10.8 Gestionarea procesului MagPro OpenVPN-GOST folosind interfața de gestionare Interfața de gestionare MagPro OpenVPN-GOST oferă un control mai mare asupra procesului MagPro OpenVPN-GOST. Puteți utiliza interfața de gestionare direct prin conexiune la portul interfeței de management sau indirect folosind GUI MagPro OpenVPN-GOST, care se conectează ea însăși la interfața de management.
Pentru a activa interfața de gestionare pe serverul sau clientul MagPro OpenVPN-GOST, adăugați următoarea linie la fișierul de configurare:
management localhost 7505 Această linie va spune MagPro OpenVPN-GOST să asculte clienții interfeței de gestionare pe portul TCP 7505 (portul 7505 este o alegere aleatorie, puteți selecta orice port liber)
Când MagPro OpenVPN-GOST rulează, vă puteți conecta la interfața de administrare folosind un client telnet. De exemplu:
ai:~ # telnet localhost 7505 Încercând 127.0.0.1...
Conectat la localhost.
Caracterul de evacuare este „^]”.
INFORMAȚII: MagPro OpenVPN-GOST Interfață de gestionare versiunea 1 -
– – –
11 EXTINDEREA SCOPULUI VPN CU
PRIN INCLUDEREA MAȘINILOR SUPLIMENTARE ÎN
SUBNETEA CLIENT SAU SERVER
11.1 Activați mai multe mașini pe partea serverului atunci când utilizați un VPN rutat (dev tun) Deoarece VPN-ul operează punct-la-punct între client și server, poate fi de dorit să se extindă domeniul de aplicare al VPN-ului, astfel încât clienții să poată ajunge la mai multe mașini din rețeaua serverului și nu doar cu mașina server în sine.
În scopul acestui exemplu, să presupunem că LAN-ul serverului utilizează subrețeaua 10.66.0.0/24, iar setul de IP VPN utilizează 10.9.1.0/24, așa cum se arată în directiva serverului din fișierul de configurare a serverului OpenVPN-GOST MagPro.
Mai întâi trebuie să faceți publicitate subrețeaua 10.66.0.0/24 clienților VPN ca fiind accesibile prin VPN.
Acest lucru se face cu ușurință folosind următoarea directivă din fișierul de configurare a serverului:
push "route 10.66.0.0 255.255.255.0" Apoi trebuie să setați o rută pe poarta LAN a serverului pentru a ruta subrețeaua client VPN (10.9.1.0/24) către serverul MagPro OpenVPN (acest lucru este necesar numai dacă serverul MagPro OpenVPN - GOST și gate LAN sunt mașini diferite.) Asigurați-vă că ați activat redirecționarea IP și TUN/TAP pe serverul MagPro OpenVPN-GOST.
11.2 Pornirea mai multor mașini de pe partea serverului când folosind un VPN bridged (dev tap) Unul dintre avantajele utilizării unui bridged VPN prin Ethernet este că îl obțineți fără nicio configurație suplimentară.
11.3 Activați mai multe mașini pe partea client când utilizați un VPN rutat (dev tun) Într-un scenariu tipic de acces la distanță, mașina client se conectează la VPN ca o singură mașină. Dar să presupunem că mașina client este poarta de acces către o rețea locală (de exemplu, un birou de acasă) și ați dori ca toate mașinile din rețeaua client să se poată conecta la VPN.
Pentru acest exemplu, să presupunem că clientul reteaua locala folosește subrețeaua 192.168.4.0/24, iar clientul VPN utilizează un certificat cu Common Name client2. Scopul nostru este de a configura VPN-ul astfel încât orice mașină din rețeaua client să poată comunica cu orice mașină din rețeaua de server prin VPN.
Înainte de configurare, există câteva cerințe de bază pe care trebuie să le îndepliniți:
– Subrețeaua locală client (192.168.4.0/24 în exemplul nostru) nu ar trebui să fie exportată către serverul VPN sau alte locații client care utilizează aceeași subrețea. Fiecare subrețea partajată de VPN prin rutare trebuie să fie unică.
Numărul de ordine al modificării Semnătura persoanei responsabile de Data introducerii modificării modificării SEIU.00022-01 31 01 33
– Clientul trebuie să aibă un câmp unic Common Name în certificatul său (în exemplul nostru, client2), iar flag-ul duplicat-cn nu trebuie utilizat în fișierul de configurare a serverului MagPro OpenVPN-GOST.
În primul rând, asigurați-vă că redirecționarea IP și TUN/TAP sunt activate pe computerul client.
Dacă fișierul de configurare a serverului nu indică directorul de configurare a clientului, adăugați indiciu acum:
client-config-dir ccd În directiva de mai sus, ccd trebuie să fie numele directorului care a fost creat anterior în directorul implicit în care rulează demonul server MagPro OpenVPN-GOST. Pe Linux, acesta este de obicei /etc/openvpn, iar pe Windows \Program Files\OpenVPN\config. Când un nou client contactează serverul MagPro OpenVPN-GOST, demonul va scana acest director pentru un fișier care se potrivește cu câmpul de nume comun al clientului care se conectează. Dacă se găsește un fișier care se potrivește, acesta va fi citit și procesat pentru a aplica directive suplimentare pentru fișierul de configurare clientului numit.
Următorul pas este să creați un fișier numit client2 în directorul ccd.
Acest fișier ar trebui să conțină linia:
iroute 192.168.4.0 255.255.255.0 Acest lucru va spune serverului MagPro OpenVPN-GOST că subrețeaua 192.168.4.0/24 ar trebui direcționată către client2.
ruta 192.168.
4.0 255.255.255.0 Vă puteți întreba de ce sunt folosite atât ruta, cât și ruta? Motivul este că ruta controlează rutarea de la kernel la serverul MagPro OpenVPN-GOST (prin interfața TUN) și iroute controlează rutarea de la serverul MagPro OpenVPN-GOST către clienții la distanță. Ambele sunt necesare.
Dacă da, adăugați următoarele la fișierul de configurare a serverului:
push client-to-client „route 192.168.4.0 255.255.255.0” Acest lucru va forța serverul MagPro OpenVPN-GOST să facă publicitate subrețeaua client2 altor clienți care se conectează.
Ultimul pas, care este adesea uitat, este să adăugați o rută către poarta LAN a serverului care direcționează 192.168.4.0/24 către serverul MagPro OpenVPN-GOST (nu veți avea nevoie de acest lucru dacă serverul MagPro OpenVPN-GOST este o poartă pentru serverul LAN). Să presupunem că ați sărit peste acest pas și ați încercat să trimiteți un semnal ping unei mașini (nu serverului MagPro OpenVPN-GOST în sine) din rețeaua de servere de la 192.168.4.8. Semnal extern va ajunge probabil la mașină, dar nu va ști cum să direcționeze semnalul de răspuns pentru că nu va ști cum să ajungă la 192.168.4.0/24. O regulă generală este că atunci când direcționați rețele LAN întregi printr-un VPN (unde serverul VPN nu este aceeași mașină cu poarta LAN), asigurați-vă că poarta LAN direcționează toate subrețelele VPN către mașina serverului VPN.
În același mod, dacă mașina client pe care rulează MagPro OpenVPNGOST nu este o poartă de rețea locală client, atunci poarta de rețea locală a clientului Numărul de secvență al modificării Semnătura persoanei responsabile de Data modificării modificări SEIU.00022-01 31 01 34 trebuie să aibă o rută, care direcționează toate subrețelele care pot fi văzute prin VPN către mașina client MagPro OpenVPN-GOST.
11.4 Activați mai multe mașini pe partea clientului folosind un VPN conectat (apăsare dezv.) Acest lucru necesită o configurare mai complexă (poate nu mai dificilă în practică, dar mai dificil de explicat în detaliu):
– Trebuie să conectați interfața client TAP la adaptorul de rețea conectat la rețeaua locală pe client în modul bridge.
– Trebuie să setați manual IP/masca de rețea pe interfața TAP a clientului.
– Este necesar să configurați mașinile pe partea client, astfel încât să utilizeze IP/mască de rețea care se află în interiorul subrețelei cu punte, poate solicita un server DHCP pe partea de server MagPro OpenVPN a VPN.
Numărul de ordine al modificării Semnătura persoanei responsabile de Data introducerii modificării modificării SEIU.00022-01 31 01 35
12 TRANSMITEREA OPȚIUNILOR DHCP CLIENTILOR
Serverul MagPro OpenVPN-GOST poate transmite clienților opțiunile DHCP, cum ar fi adresele serverelor DNS și WINS. Clienții Windows pot accepta opțiunile DHCP trecute pe cont propriu, iar clienții de pe alte sisteme de operare le pot accepta folosind un script cu partea client în sus care analizează lista de variabile de mediu foreign_option_n.De exemplu, să presupunem că doriți să conectați clienții pentru a utiliza un server DNS intern pe 10.66.0.4 sau 10.66.0.5 și un server WINS pe 10.66.0.8.
Adăugați la configurația serverului MagPro OpenVPN-GOST:
Apăsați „dhcp-option DNS 10.66.0.4” apăsați „dhcp-option DNS 10.66.0.5” apăsați „dhcp-option WINS 10.66.0.8” Pentru a testa această caracteristică pe Windows, executați următoarea comandă dintr-o fereastră de prompt de comandă după ce mașina a conectat la serverul MagPro OpenVPNGOST:
ipconfig /all Intrarea pentru adaptorul TAP-Win32 ar trebui să arate opțiunile DHCP transmise de server.
Numărul de ordine al modificării Semnătura persoanei responsabile de Data introducerii modificării modificării SEIU.00022-01 31 01 36
13 CONFIGURARE SPECIFICA CLIENTULUI
REGULI ȘI POLITICI DE ACCES
Să presupunem că instalăm un VPN pentru o companie și am dori să setăm politici de acces diferite pentru 3 clase diferite de utilizatori:– Administratori de sistem - acces complet la toate mașinile din rețea
– Angajații – acces numai la serverele Samba/e-mail
– Contractori – acces numai la un server special
Abordarea de bază pe care o vom adopta este:
1. alocă fiecărei clase propriul interval de adrese IP,
2. controlați accesul la mașini prin stabilirea regulilor de firewall care se bazează pe adresa IP virtuală a clientului.
În exemplul nostru, să presupunem că avem un număr în schimbare de angajați, dar doar un administrator de sistem și doi contractori. Abordarea noastră în ceea ce privește alocarea IP ar fi să punem toți angajații într-o serie de adrese IP și apoi să emitem adrese IP fixe administratorului de sistem și contractorilor.
Rețineți că una dintre cerințele pentru acest exemplu este că aveți un firewall software care rulează pe mașina server MagPro OpenVPN-GOST, ceea ce vă oferă posibilitatea de a defini reguli specifice de firewall. Pentru exemplul nostru, vom presupune că acest firewall este iptables pe Linux.
Mai întâi, să creăm o hartă a adreselor IP virtuale în funcție de fiecare clasă:
Interval de clasă Acces permis Câmpurile de nume comune ale IP-urilor virtuale la rețeaua locală
– – –
Contractori 10.8.2.0/24 Contractori server contractor1, pe 10.66.4.12 contractor2 Acum să transferăm acest card în configurația serverului MagPro OpenVPN-GOST. Mai întâi, asigurați-vă că urmați pașii de mai sus, făcând subrețeaua 10.66.4.0/24 accesibilă tuturor clienților (deși vom configura rutarea pentru a permite accesul clientului la întreaga subrețea 10.66.4.0/24, apoi vom aplica restricțiile de acces folosind reguli de firewall pentru a implementa tabelul de politici de mai sus).
Mai întâi, să definim un număr static pentru interfața noastră tun, astfel încât să putem face referire la el mai târziu în regulile noastre de firewall:
În fișierul de configurare a serverului, definim intervalul de adrese IP pentru angajați:
server 10.8.
0.0 255.255.255.0
Să adăugăm rute pentru intervalele de administrator de sistem și contractor:
traseul 10.8.
1.0 255.255.255.0 Numărul de ordine al modificării Semnătura persoanei responsabile de Data modificării modificării SEIU.00022-01 31 01 37 traseul 10.8.
2.0 255.255.255.0
Deoarece vom atribui adrese IP fixe unor anumite administratorii de sistemși contractori, vom folosi directorul de configurare a clientului:
client-config-dir ccd
Acum plasați fișiere de configurare speciale în subdirectorul ccd pentru a defini o adresă IP fixă pentru fiecare client VPN non-angajat:
ccd/sysadmin1 ifconfig-push 10.8.1.1 10.8.1.2 ccd/contractor1 ifconfig-push 10.8.2.1 10.8.2.2 ccd/contractor2 ifconfig-push 10.8.2.5 10.8.2.5 10.8.2.5 10.8.2.5 10.8.2.6 adresa clientului virtual și serverul final reprezintă punctul final-push. Acestea trebuie să fie preluate din subrețele seriale/30 pentru a fi compatibile cu clienții Windows și driverul TAP-Win32.
În special, ultimul octet din adresa IP a fiecărei perechi de puncte finale trebuie luat din acest set:
[ 1, 2] [ 5, 6] [ 9, 10] [ 13, 14] [ 17, 18] [ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38] [ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58] [ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78] [ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98]
Aceasta completează configurația MagPro OpenVPN-GOST. Ultimul pas este să adăugați reguli de firewall pentru a finaliza politica de acces. Pentru acest exemplu, vom folosi regulile din sintaxa iptables din Linux:
# Regula angajaților iptables -A ÎNTÂMPRE -i tun0 -s 10.8.0.0/24 -d 10.66.4.4 -j ACCEPT # Regulă Sysadmin iptables -A ÎNTÂMPRE -i tun0 -s 10.8.1.0/24 -d 10.66.4.4 -d 10.66.4.4. j ACCEPT # Contractor rule iptables -A FORWARD -i tun0 -s 10.8.2.0/24 -d 10.66.4.12 -j ACCEPT
– – –
14 UTILIZAREA METODELOR ALTERNATIVE
AUTENTIFICARE
MagPro OpenVPN-GOST are capacitatea de a permite serverului său să primească în siguranță autentificarea și parola de la clientul care se conectează și să folosească aceste informații ca bază pentru autentificarea clientului.Pentru a utiliza această metodă de autentificare, adăugați mai întâi directiva auth-userpass la configurația clientului. Acesta va forța clientul MagPro OpenVPN-GOST să solicite utilizatorului o autentificare/parolă, transmițându-l către server printr-un canal TLS securizat.
Apoi, configurați serverul să utilizeze un plugin de autentificare, care poate fi un script, un obiect partajat sau un DLL. Serverul MagPro OpenVPNGOST va apela acest plugin de fiecare dată când un client VPN încearcă să se conecteze, transmițându-i login-ul și parola introduse pe client. Pluginul de autentificare poate controla dacă serverul MagPro OpenVPN-GOST permite clientului să se conecteze, returnând o valoare de eșec (1) sau de succes (0).
14.1 Utilizarea pluginurilor de script
Pluginurile de script pot fi utilizate prin adăugarea directivei auth-user-pass-verify la fișierul de configurare a serverului. De exemplu:
auth-user-pass-verify auth-pam.pl via-file va folosi scriptul perl auth-pam.pl pentru a autentifica login-ul și parola clienților care se conectează.
Scriptul auth-pam.pl este inclus în distribuția MagPro OpenVPN-GOST din subdirectorul samplescripts. Acesta va autentifica utilizatorii pe un server Linux folosind modulul de autentificare PAM, care poate implementa el însuși parola umbră, autentificarea RADIUS sau LDAP. auth-pam.pl este destinat în primul rând pentru scopuri demonstrative. Pentru autentificarea PAM operațională, utilizați partajarea openvpn-auth-pam descrisă mai jos.
14.2 Utilizarea obiectelor partajate sau DLL-urilor ca pluginuri Pluginuri - obiectele partajate sau DLL-urile sunt de obicei module compilate în limbajul C care sunt încărcate de serverul MagPro OpenVPN-GOST în timpul funcționării.
De exemplu, dacă utilizați pachetul MagPro OpenVPN-GOST pe Linux, care se bazează pe RPM, atunci pluginul openvpn-auth-pam ar trebui să fie deja instalat.
Pentru a-l folosi, adăugați linia în fișierul de configurare a serverului:
plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so login Acest lucru va spune serverului MagPro OpenVPN-GOST să verifice datele de conectare și parola introduse de clienți folosind modulul PAM de conectare.
Pentru utilizare reală în producție, este mai bine să utilizați pluginul openvpn-auth-pam, deoarece are mai multe avantaje față de scriptul auth-pam.pl:
– Openvpn-auth-pam obiect partajat pentru protectie mai buna utilizează un model de executare a drepturilor partajate. Aceasta înseamnă că serverul MagPro OpenVPN-GOST poate funcționa cu drepturi reduse folosind directivele user nobody, group nobody Numărul de secvență al modificării Semnătura persoanei responsabile de Data modificării modificării SEIU.00022-01 31 01 39 și chroot și va putea în continuare să autentifice clienții folosind un fișier de parolă umbră care poate fi citit doar de un utilizator privilegiat.
– MagPro OpenVPN-GOST poate transfera datele de conectare și parola către plugin prin intermediul memoriei virtuale, mai degrabă decât printr-un fișier sau mediu, ceea ce este mai bun pentru securitatea locală pe mașina server.
– Modulele C compilate sunt de obicei mai rapide decât scripturile.
Dacă doriți mai multe informații despre dezvoltarea propriilor plugin-uri pentru utilizare cu MagPro OpenVPN-GOST, consultați fișierele README din subdirectorul plugin-ului distribuției MagPro OpenVPN-GOST.
Pentru a construi pluginul openvpn-auth-pam pe Linux, accesați directorul plugin/auth-pam din distribuția MagPro OpenVPN-GOST și rulați make.
14.3 Utilizarea autentificarea de conectare și parolă ca singura formă de autentificare a clientului În mod implicit, utilizarea auth-user-pass-verify sau a unui plugin de verificare a autentificarii și a parolei pe server va permite autentificarea dublă, necesitând ca atât autentificarea certificatului client, cât și autentificarea clientului a avea succes pentru a autentifica clientul.login-parola autentificare.
Pe server:
client-cert-nu este necesar
Astfel de configurații ar trebui să aibă de obicei linia:
username-as-common-name Care îi spune serverului să folosească login-ul în scopuri de indexare, deoarece ar folosi câmpul Common Name pentru un client autentificat cu un certificat de client.
Rețineți că linia client-cert-not-required nu elimină necesitatea unui certificat de server, astfel încât un client care se conectează la un server care utilizează client-certnot-required poate elimina directivele cert și cheie din fișierul de configurare a clientului, dar nu directiva ca, deoarece clientul trebuie să verifice certificatul serverului.
Numărul de ordine al modificării Semnătura persoanei responsabile de Data introducerii modificării modificării SEIU.00022-01 31 01 40
15 CUM SĂ ADĂUGAȚI AUTENTICARE ÎN DOI FACTORI LA CONFIGURAȚIA GOST MagPro OpenVPN CU
UTILIZAREA JETONURILOR PE CLIENT
LATURĂ15.1 Despre autentificarea cu doi factori Autentificarea cu doi factori este o metodă de autentificare care combină două elemente: ceva ce ai și ceva ce știi.
Orice aveți trebuie să fie un dispozitiv care nu poate fi duplicat;
un astfel de dispozitiv ar putea fi un token criptografic care conține o cheie privată. Această cheie privată este generată în interiorul dispozitivului și nu o părăsește niciodată. Dacă un utilizator aflat în posesia acestui token încearcă să se conecteze la servicii protejate dintr-o rețea de la distanță, procesul de autorizare care acordă sau interzice accesul la rețea poate stabili, cu un grad ridicat de încredere, că utilizatorul care se conectează deține fizic un certificat cunoscut, certificat. jeton.
Ceva pe care îl știți ar putea fi parola furnizată dispozitivului criptografic. Fără a furniza parola corectă, nu puteți utiliza cheia privată. O altă capacitate a dispozitivelor criptografice este de a interzice utilizarea unei chei private dacă parola incorecta a fost furnizat de mai multe ori decât numărul permis. Acest comportament asigură că, dacă un utilizator își pierde dispozitivul, o altă persoană nu îl va putea folosi.
Dispozitivele criptografice sunt de obicei numite „jetoane”, care sunt utilizate împreună cu PKI (infrastructura cheii publice). Serverul VPN poate analiza certificatul X509 și poate verifica dacă utilizatorul are cheia privată corespunzătoare. Deoarece dispozitivul nu poate fi duplicat și necesită o parolă validă, serverul poate autentifica utilizatorul cu un grad ridicat de încredere.
Autentificarea cu doi factori este mult mai puternică decât autentificarea prin login și parolă, deoarece, în cel mai rău caz, doar o persoană poate folosi jetonul criptografic. Parolele pot fi ghicite și afișate altor utilizatori, așa că atunci când resursele sunt protejate doar prin autentificare prin parolă, în cel mai rău caz, un număr infinit de persoane pot încerca să obțină acces neautorizat.
Dacă stocați cheia privată într-un fișier, cheia este de obicei protejată de o parolă. Problema cu această abordare este că cheia criptată este deschisă atacurilor de decriptare sau operațiunilor rău intenționate pe computerul client. Spre deosebire de o cheie de pe un dispozitiv criptografic, un fișier nu poate fi distrus automat după mai multe încercări eșuate de decriptare.
15.2 Configurarea MagPro OpenVPN-GOST pentru a funcționa cu jetoane Rutoken Pentru a lucra cu jetoane de stocare cheie, MagPro OpenVPN-GOST folosește propriul motor de module etkeyld.
Pentru a lucra cu jetoane de stocare a cheilor RuToken, aveți nevoie de biblioteca etkeyld.so (etkeyld.dll în cazul sistemului de operare Windows), care permite aplicațiilor să citească cheile din token și de fișierul binar executabil etkeystore (etkeystore.exe), care vă permite să generaţi şi
– – –
scrieți chei private într-un simbol de stocare a cheilor. În fișierul de configurare OpenSSL, modulul motor trebuie specificat în mod explicit, de exemplu:
.......
keyloader=etkeyld_section engine_id=etkeyld default_algorithms=ALL În fișierul de configurare MagPro OpenVPN-GOST, ar trebui să specificați și numărul cheii de pe dispozitiv, de exemplu, astfel: key []etkeyld:0x20 unde cheia este o directivă care indică faptul că ce se va spune în continuare despre cheia privată; []etkeyld - o indicație a modulului motor cu care va fi citită cheia; 0x20 - numărul cheii de pe jeton. Cele mai frecvent utilizate numere sunt 0x10, 0x20, 0x30 (este de asemenea acceptabil să se folosească notația zecimală - 16, 32, etc.) Numărul de serie al modificării Semnătura persoanei responsabile de Data modificării modificării SEIU.00022-01 31 01 42
16 DIRECȚIA TOTULUI TRAFICUL CLIENTILOR
(INCLUS TRAFIC WEB) PRIN VPN16.1 Introducere În mod implicit, când clientul MagPro OpenVPN-GOST este activ, numai traficul de rețea către și de la serverul MagPro OpenVPN-GOST va trece prin VPN. Navigarea generală pe Internet, de exemplu, se va face prin conexiuni directe care nu trec printr-un VPN.
În unele cazuri, acest comportament poate să nu fie de dorit - poate doriți ca clientul VPN să tunelească tot traficul de rețea prin VPN, inclusiv navigarea generală pe internet. Deși acest tip de configurație VPN va face clientul să funcționeze mai lent, îi oferă administratorului VPN un control mai mare asupra politicilor de securitate atunci când clientul este conectat atât la internetul public, cât și la VPN.
16.2 Implementare
Adăugați următoarea directivă în fișierul de configurare a serverului:
Apăsați „redirect-gateway def1” Dacă VPN-ul dvs. este configurat într-o rețea fără fir în care toți clienții și serverul sunt pe aceeași subrețea fără fir, setați marcajul local:
push "redirect-gateway local def1" Trecerea opțiunii de redirecționare-gateway către clienți va forța tot traficul de rețea IP care provine de la mașinile client să treacă prin serverul MagPro OpenVPN-GOST. Serverul va trebui configurat cumva, astfel încât să poată funcționa cu acest trafic, de exemplu, conectați-l la Internet prin NAT sau direcționați-l printr-un server proxy HTTP.
Pe Linux, puteți utiliza această comandă pentru a conecta traficul clientului la Internet prin NAT:
iptables -t nat -A POSTROUTING -s 10.9.1.0/24 -o eth0 -j MASQUERADE Această comandă presupune că subrețeaua VPN este 10.9.1.0/24 (preluată din directiva serverului din configurația serverului MagPro OpenVPN-GOST) și că interfața de rețea Ethernet locală - eth0.
Când se utilizează gateway-ul de redirecționare, clienții MagPro OpenVPN-GOST vor direcționa cererile DNS prin VPN, iar serverul VPN va trebui să le gestioneze. Acest lucru se poate realiza prin transmiterea adresei server DNS clienții de conectare, care vor suprascrie setările lor normale ale serverului DNS atâta timp cât VPN-ul este activ.
De exemplu:
push „dhcp-option DNS 10.9.1.1” va configura clienții Windows (sau alte sisteme de operare cu unele scripturi suplimentare) să folosească 10.9.1.1 ca server DNS. Orice adresă care este vizibilă de la clienți poate fi utilizată ca adresă de server DNS.
16.3 Avertismente
Redirecționarea întregului trafic de rețea printr-un VPN nu este o propunere complet fără probleme. Iată câteva probleme comune de reținut:
– – –
– Multe mașini client MagPro OpenVPN-GOST care se conectează la Internet vor interacționa periodic cu Server DHCP pentru a vă reînnoi contractul de închiriere IP. Opțiunea de redirecționare a gateway-ului poate împiedica clientul să contacteze serverul DHCP local (deoarece mesajele DHCP vor fi direcționate prin VPN), determinându-i să-și piardă contractul de închiriere IP.
– Există probleme cu transmiterea adreselor DNS către clienții Windows.
– Navigarea site-urilor de internet pe client va fi considerabil mai lentă.
Numărul de serie al modificării Semnătura persoanei responsabile pentru Data modificării SEIU.00022-01 31 01 44 17 OPERAREA SERVERULUI MagPro OpenVPN-GOST ON
ADRESA IP DINAMICĂ
În timp ce clienții MagPro OpenVPN-GOST pot ajunge cu ușurință la un server printr-o adresă IP dinamică fără nicio configurație specială, anumite probleme apar atunci când serverul însuși are o adresă dinamică. Deși MagPro OpenVPN-GOST face față cu ușurință situației pe un server dinamic, este necesară o configurație suplimentară.Primul pas este să obțineți o adresă DNS dinamică, care poate fi configurată să „urmărească” serverul ori de câte ori adresa IP a serverului se schimbă. Există mai mulți furnizori de servicii DNS dinamici disponibili, cum ar fi dyndns.org.
Următorul pas este configurarea unui mecanism astfel încât de fiecare dată când adresa IP a serverului se schimbă, numele DNS dinamic să primească rapid noua adresă IP, permițând clienților să găsească serverul după noua sa adresă IP.
Există două moduri principale de a face acest lucru:
– Utilizați echipamente de router NAT care acceptă DNS dinamic (de exemplu Linksys BEFSR41). Cele mai ieftine și disponibile pe scară largă routere NAT au capacitatea de a actualiza numele DNS dinamic de fiecare dată când se obține o nouă închiriere DHCP de la ISP. Această configurare este ideală atunci când serverul MagPro OpenVPNGOST este un computer cu un singur adaptor de rețea în interiorul firewall-ului.
– Utilizați o aplicație client DNS dinamic, cum ar fi ddclient (http://sourceforge.net/apps/trac/ddclient) pentru a actualiza adresa DNS dinamică de îndată ce adresa IP a serverului se modifică. Această configurare este ideală atunci când mașina care rulează MagPro OpenVPN-GOST are mai multe adaptoare de rețea și acționează ca un firewall/poartă. Pentru a implementa această configurare, trebuie să configurați un script care va fi executat de aplicația software client DHCP de fiecare dată când adresa IP se schimbă. Acest script ar trebui a) să ruleze ddclient pentru a vă notifica furnizorul DNS dinamic despre noua adresă IP și b) să reporniți demonul serverului MagPro OpenVPN-GOST.
Clientul MagPro OpenVPN-GOST va detecta în mod implicit când adresa IP a serverului se schimbă dacă configurația clientului utilizează directiva de la distanță, care corespunde numelui DNS dinamic. Lanțul obișnuit de evenimente este: a) clientul MagPro OpenVPN nu reușește să primească în timp util mesaje de asistență de la vechea adresă IP a serverului, ceea ce declanșează o repornire și b) repornirea face ca numele DNS din directiva de la distanță să fie revizuit, permițând client pentru a se reconecta la server la noua sa adresă IP.
Numărul de serie al modificării Semnătura persoanei responsabile de Data modificării SEIU.00022-01 31 01 45 18 CONECTAREA LA SERVERUL MagPro OpenVPN-GOST PRIN HTTP PROXY MagPro OpenVPN-GOST acceptă conexiuni prin proxy HTTP, cu următoarele modele de autentificare:
– Fără autentificare pe proxy
– Autentificare de bază cu proxy
– Autentificare proxy NTLM Adăugați directiva http-proxy la fișierul de configurare a clientului.
De exemplu, să presupunem că aveți un server proxy HTTP pe LAN-ul clientului la 192.168.4.1 care ascultă conexiunile pe portul 1080.
Adăugați următoarea linie la configurația clientului:
http-proxy 192.168.4.1 1080
Să presupunem că proxy-ul HTTP necesită autentificare de bază:
http-proxy 192.168.4.1 1080 stdin de bază
Să presupunem că proxy-ul HTTP necesită autentificare NTLM:
http-proxy 192.168.4.1 1080 stdin ntlm Cele două exemple de autentificare de mai sus vor forța MagPro OpenVPN-GOST să solicite o autentificare și o parolă de la intrarea standard. Dacă preferați să puneți login-ul și parola într-un fișier, înlocuiți stdin cu numele fișierului și plasați login-ul pe prima linie a acelui fișier și parola pe a doua.
Numărul de ordine al modificării Semnătura persoanei responsabile de Data introducerii modificării modificării SEIU.00022-01 31 01 46
19 CONEXIUNEA CU SHARING
RESURSA SAMBA PRIN MagPro OpenVPN Acest exemplu are scopul de a arăta cum clienții MagPro OpenVPN se pot conecta la o partajare Samba printr-un sistem de dezvoltare direcționat. Dacă utilizați tipul de punte MagPro OpenVPN-GOST (dev tap), probabil că nu trebuie să urmați aceste instrucțiuni, deoarece clienții MagPro OpenVPN-GOST trebuie să vadă mașinile de pe partea serverului în mediul lor de rețea.Pentru acest exemplu, să presupunem că:
– Rețeaua locală a serverului utilizează subrețeaua 10.66.0.0/24,
– Intervalul de adrese IP VPN folosește 10.8.0.0/24 (așa cum este specificat în directiva serverului din fișierul de configurare a serverului MagPro OpenVPN-GOST)
– Serverul Samba are o adresă IP de 10.66.0.4 și
– Serverul Samba a fost deja configurat și este accesibil din LAN local.
Dacă serverele Samba și MagPro OpenVPN-GOST rulează pe mașini diferite, asigurați-vă că ați urmat instrucțiunile din secțiunea „Extinderea domeniului de aplicare a VPN pentru a include mașini suplimentare în subrețeaua client sau server”.
Apoi, editați fișierul de configurare a serverului Samba (smb.conf). Asigurați-vă că directiva hosts allow va permite clienților MagPro OpenVPN-GOST care provin din subrețeaua 10.9.1.0/24 să stabilească o conexiune.
De exemplu:
Gazdele permit = 10.66.0.0/24 10.9.1.0/24 127.0.0.1 Dacă serverele Samba și MagPro OpenVPN-GOST rulează pe aceeași mașină, poate doriți să editați directiva interfețe în fișierul smb.conf pentru a asculta și pe subrețeaua 10.9.1.0/24 a interfeței TUN:
Interfețe = 10.66.0.0/24 10.9.1.0/24 Dacă serverele Samba și MagPro OpenVPN-GOST rulează pe aceeași mașină, conectați-vă de la clientul MagPro OpenVPN-GOST la partajarea Samba folosind numele directorului:
\\10.9.1.1\\sharename Dacă serverele Samba și MagPro OpenVPN-GOST rulează pe mașini diferite, utilizați numele directorului:
\\10.66.0.4\sharename
De exemplu, din fereastra liniei de comandă:
net use z: \\10.66.0.4\sharename /USER:myusername Numărul de serie al modificării Semnătura persoanei responsabile de Data modificării modificări SEIU.00022-01 31 01 47
20 IMPLEMENTAREA CONFIGURAȚIEI DE ECHILIBRARE
ÎNCĂRCARE/RESTAURARE DUPĂ EROARE
20.1 Client
Configurația clientului MagPro OpenVPN-GOST poate indica mai multe servere pentru echilibrarea încărcăturii și recuperarea erorilor. De exemplu:
server la distanță1.domeniul meu server la distanță2.domeniul meu server la distanță3.domeniul meu va spune clientului MagPro OpenVPN-GOST să încerce să stabilească o conexiune la server1, server2 și server3 în această ordine. Dacă se pierde o conexiune existentă, clientul OpenVPN va încerca să se reconecteze cu ultimul server la care s-a conectat, iar dacă aceasta nu reușește, se va muta la următorul server din listă. Puteți, de asemenea, să îi spuneți clientului MagPro OpenVPN-GOST să-și randomizeze lista de servere la încărcare, astfel încât încărcarea clientului să fie distribuită probabil pe întreaga gamă de servere.
remote-random Dacă doriți și eșecurile rezoluției DNS să forțeze clientul MagPro
OpenVPN-GOST mutați la următorul server din listă, adăugați următoarele:
resolv-retry 60 Parametrul 60 îi spune clientului OpenVPN să încerce să rezolve fiecare nume DNS la distanță timp de 60 de secunde înainte de a trece la următorul server din listă.
Lista de servere poate indica, de asemenea, mai mulți daemoni de server MagPro
OpenVPN-GOST rulează pe aceeași mașină, fiecare ascultând conexiunile pe propriul port, de exemplu:
la distanță smp-server1.mydomain 8000 la distanță smp-server1.mydomain 8001 la distanță smp-server2.mydomain 8000 la distanță smp-server2.mydomain 8001
20.2 Lista serverelor Dacă serverele dumneavoastră sunt mașini multiprocesor, rularea mai multor demoni MagPro OpenVPN-GOST pe fiecare server poate avea avantaje în ceea ce privește viteza de execuție.
MagPro OpenVPN-GOST acceptă și directiva la distanță, care indică un nume DNS care are mai multe înregistrări A în configurația zonei pentru domeniu. În acest caz, clientul MagPro OpenVPN-GOST va selecta aleatoriu una dintre înregistrările A de fiecare dată când domeniul este rezolvat.
– – –
21 ÎNDARIREA SECURITĂȚII MagPro OpenVPN-GOST Una dintre maximele deseori repetate ale securității rețelei este că nu trebuie să vă bazați niciodată în întregime pe o singură componentă de securitate, deoarece eșecul acesteia cauzează o defecțiune catastrofală de securitate. MagPro OpenVPN-GOST oferă mai multe mecanisme care oferă posibilitatea de a adăuga straturi suplimentare de protecție pentru a vă proteja de un astfel de rezultat.
21.1 tls-auth Directiva tls-auth adaugă o semnătură HMAC suplimentară la toate pachetele de handshake SSL/TLS pentru verificarea integrității. Această semnătură HMAC oferă un nivel suplimentar de securitate peste ceea ce este oferit de SSL/TLS. Poate proteja împotriva:
– Atacurile DoS
– Vulnerabilități de depășire a tamponului în implementările SSL/TLS
Utilizarea tls-auth va necesita generarea unei chei private uz comun, care este utilizat pe lângă certificatele/cheile GOST:
openvpn --genkey --secret ta.key Această comandă va genera o cheie MagPro OpenVPN-GOST statică și o va scrie în fișierul ta.key. Această cheie ar trebui copiată printr-un canal securizat preexistent către server și toate mașinile client. Poate fi plasat în același director cu fișierele GOST.key și .crt.
În configurația serverului adăugați:
tls-auth ta.key 0
În configurația clientului adăugați:
tls-auth ta.key 1
21.2 utilizator/grup (cu excepția sistemului de operare Windows) MagPro OpenVPN-GOST a fost proiectat foarte atent pentru a permite renunțarea la drepturile de utilizator privilegiate după inițializare, iar această caracteristică ar trebui să fie întotdeauna utilizată pe Linux/BSD/Solaris. Fără drepturi de utilizator privilegiate, un daemon de server MagPro OpenVPN-GOST care rulează este o țintă mult mai puțin atractivă pentru un atacator.
Pentru a dezactiva drepturile de utilizator privilegiate după inițializare, adăugați următoarele directive la configurația serverului:
utilizator nimeni nu grupează nimeni
21.3 Modul neprivilegiat (numai Linux) În Linux, MagPro OpenVPN-GOST poate funcționa fără niciun privilegiu. Această configurație este ceva mai complexă, dar oferă cea mai bună protecție.
– – –
Pentru a funcționa cu această configurație, MagPro OpenVPN-GOST ar trebui configurat să funcționeze cu interfața iproute, acest lucru se face prin specificarea –enable-iproute2 în scriptul de configurare. Pachetul sudo ar trebui să fie disponibil și pe sistemul dumneavoastră.
Această configurație profită de capacitatea Linux de a schimba permisiunile pe un dispozitiv tun, astfel încât un utilizator neprivilegiat să îl poată utiliza. De asemenea, folosește sudo pentru a executa iproute, astfel încât proprietățile interfeței și tabelului de rutare să poată fi modificate.
Configurarea MagPro OpenVPN-GOST:
– Scrieți următorul script și plasați-l în /usr/local/sbin/unpriv-ip:
#!/bin/sh sudo /sbin/ip $*
– Editați fișierul /etc/sudoer pentru a adăuga următoarele pentru a permite utilizatorului1 să ruleze /sbin/ip:
user1 ALL=(ALL) NOPASSWD: /sbin/ip
De asemenea, puteți activa grupul de utilizatori cu următoarea comandă:
%users ALL=(ALL) NOPASSWD: /sbin/ip
– Adăugați următoarele la configurația dvs. MagPro OpenVPN-GOST:
dev tunX/tapX iproute /usr/local/sbin/unpriv-ip Vă rugăm să rețineți că trebuie să selectați constanta X și să specificați fie tun, fie tap, nu ambele.
– În calitate de utilizator root, adăugați o interfață persistentă și lăsați utilizatorul și/sau grupul să o gestioneze, următoarea comandă creează tunX (înlocuiește-l cu al tău) și permite utilizatorului1 și grupului de utilizatori să-l folosească.
openvpn --mktun --dev tunX --type tun --user user1 --grup de utilizatori
– Rulați MagPro OpenVPN-GOST în contextul unui utilizator neprivilegiat.
21.4 chroot (cu excepția sistemului de operare Windows) Directiva chroot vă permite să blocați demonul MagPro OpenVPN-GOST într-o așa-numită închisoare chroot, unde demonul nu va putea lucra cu nicio parte a sistemului de fișiere din sistemul de operare, cu cu excepția unui director special specificat ca parametru al directivei. De exemplu, o închisoare chroot va forța demonul OpenVPN MagPro să se mute în subdirectorul închisoare la inițializare și apoi să-și reorienteze sistemul de fișiere rădăcină către acel director, astfel încât demonul să nu poată vedea niciun fișier din afara directorului închisoare și al acestuia. subdirectoare. Acest lucru este important din punct de vedere al securității, deoarece chiar dacă un atacator este capabil să compromită serverul cu cod rău intenționat, acel cod va fi blocat din majoritatea sistemului de fișiere al serverului.
Avertismente: Deoarece chroot reorientează sistemul de fișiere (numai din perspectiva demonului), trebuie să plasați toate fișierele care pot fi solicitate de OpenVPN după inițializare într-un director de închisoare, cum ar fi fișierul crl-verify sau directorul client-config-dir.
Numărul de ordine al modificării Semnătura persoanei responsabile de Data introducerii modificării modificării SEIU.00022-01 31 01 51
21.5 Stocarea cheii rădăcină (ca.key) pe o mașină separată fără conexiune la rețea Unul dintre avantajele utilizării PKI conform standardului X.509 din punct de vedere al securității este că cheia rădăcină a autorității de certificare (cca. cheie) nu trebuie să fie prezent pe serverul MagPro OpenVPN-GOST. Într-un mediu de înaltă securitate, este posibil să doriți să dedicați o mașină în mod special pentru semnarea cheilor, să păstrați acea mașină bine protejată din punct de vedere fizic și să o deconectați de la toate rețelele. Pentru a transfera cheile puteți folosi dischete. Aceste măsuri fac extrem de dificil pentru un atacator să fure cheia rădăcină, cu excepția cazului în care fură fizic mașina de semnare a cheilor.
Numărul de ordine al modificării Semnătura persoanei responsabile de Data modificării modificare SEIU.00022-01 31 01 52 22 RECHERAREA CERTIFICATELOR Revocarea unui certificat înseamnă declararea invalidului unui certificat semnat anterior, astfel încât acesta să nu mai poată fi utilizat pentru autentificare scopuri.
Motivele tipice pentru care doriți să revocați un certificat includ:
– Cheia privată asociată cu certificatul a fost compromisă sau furată.
– Utilizatorul unei chei private criptate uită parola cheii.
– Doriți să opriți accesul unui utilizator la VPN.
Mai întâi trebuie să creați o listă de revocare. O bună practică este să creați o listă de recenzii goală și să solicitați clienților să o revizuiască. În acest fel, atunci când trebuie să revocați certificatul, nu veți întâmpina probleme în a face clienții să observe.
Pentru a crea o listă de revocare pentru CA dvs., mai întâi trebuie să creați un fișier index.txt. Acesta va fi inițial un fișier gol (creat de comanda tactilă). Cu toate acestea, pe măsură ce începeți să revocați certificatele, informațiile vor fi adăugate la acestea. Fișierul poate fi citit de om și nesemnat, așa că avem nevoie de OpenSSL pentru a face o formă PEM semnată.
Deci, când obțineți fișierul pointer gol, puteți face o listă de revocare din el cu:
openssl ca -gencrl -keyfile ca.key -cert ca.crt -out crl.pem unde ca.key --- închis Cheie CA ca.crt --- Certificat CA crl.pem --- fișier obligatoriu care conține liste de revocare Această comandă va crea o listă de revocare pentru dvs., valabilă pentru o perioadă de timp implicită (1 lună). În cazul în care lista de revocare este utilizată numai pe serverele pe care le controlați și în care sunteți sigur că veți actualiza lista de revocare data viitoare când va fi revocată, este posibil să doriți să măriți durata de viață a listei de revocare. În caz contrar, în câteva luni serverele dumneavoastră se vor plânge că lista de revocare este învechită.
Pentru a mări perioada de valabilitate a unei liste de revocare, adăugați opțiunea crldays xxx la comanda de generare a listei de revocare de mai sus (unde xxx este numărul de zile în care lista de revocare este valabilă) Notă: Dacă lista dvs. de revocare expiră înainte de a revoca certificatul, pur și simplu creați unul nou, așa cum este descris mai sus. O listă de revocare este pur și simplu o copie semnată a unei liste interne de revocare a certificatelor care are o dată de expirare și este formatată într-un format standard. Puteți crea noi liste de revocare oricând doriți.
Acum că lista inițială de revocare este gata, vom revoca certificatul:
openssl ca -revoke bad.crt -keyfile ca.key -cert ca.crt unde ca.key și ca.crt sunt aceleași ca în comanda anterioară, iar bad.crt este certificatul revocat.
Acest lucru va actualiza automat fișierul index.txt cu noi detalii despre certificatul revocat. Acum trebuie să creați un nou fișier de listă de revocare folosind aceeași comandă pe care am folosit-o mai sus pentru a crea un fișier gol. Odată ce o nouă listă de revocare este creată, aceasta trebuie publicată!
Dacă doriți să jucați cu durata listei de revocare și alte asemenea lucruri, va trebui să citiți secțiunea Opțiuni pentru lista de revocare din manualul OpenSSL CA. Dacă doriți să manipulați lista de revocare, să o vizualizați etc., citiți manualul utilitarului CRL.
Numărul de ordine al modificării Semnătura persoanei responsabile de Data introducerii modificării modificării SEIU.00022-01 31 01 53 23 ANEXĂ. LISTA OPȚIUNILOR COMANDEI openvpn
23.1 Opțiuni generale MagPro OpenVPN-GOST vă permite să plasați orice opțiune pe linia de comandă sau într-un fișier de configurare. Deși toate opțiunile liniei de comandă sunt prefixate cu o cratimă dublă, acest prefix poate fi omis atunci când opțiunea este plasată într-un fișier de configurare.
– – –
–management-client-pf Clienții interfeței de administrare trebuie să specifice un fișier de filtru de pachete pentru fiecare client care se conectează.
–management-client-user u Când interfața de management ascultă pe un soclu de domeniu Unix, permiteți conexiunile numai pentru utilizatorul u.
–management-client-group Când interfața de management ascultă pe un soclu de domeniu Unix, g permite doar conexiuni pentru grupul g.
– – –
23.3 Modul server MagPro OpenVPN-GOST acceptă modul server multi-client, care poate fi activat utilizând opțiunea –mode server. În modul server, MagPro OpenVPNGOST ascultă pe un singur port pentru conexiunile client de intrare. Toate conexiunile client sunt direcționate printr-o singură interfață tun sau tap. Acest mod este scalabil și ar trebui să poată accepta sute sau chiar mii de clienți pe mașini relativ rapide. În acest mod, trebuie utilizată autentificarea SSL/TLS.
– – –
23.4 Modul client Utilizați modul client când vă conectați la serverul MagPro OpenVPN-GOST, care are opțiunile –server, –server-bridge sau –mode server în configurație.
– – –
23.5 Opțiuni de criptare a canalului de date Aceste opțiuni sunt relevante atât pentru modul static, cât și pentru modul cheie negociată TLS (trebuie să fie compatibile între egali)
– – –
23.6 Opțiuni pentru modul TLS Modul TLS este cel mai puternic mod criptografic al MagPro OpenVPN-GOST atât în ceea ce privește securitatea, cât și flexibilitatea. Modul TLS funcționează prin stabilirea de tuneluri de control și de date care sunt multiplexate pe un singur port TCP/UDP. MagPro OpenVPN-GOST inițiază o sesiune TLS pe canalul de control și o folosește pentru a schimba chei de criptare și HMAC pentru a proteja canalul de date.
Modul TLS utilizează un strat criptografic avansat peste conexiunea UDP pentru toate comunicațiile de pe canalul de control, în timp ce canalul de date prin care trec datele criptate din tunel este transmis fără nicio mediere. Rezultatul este cel mai bun din ambele lumi: canal rapid date care sunt transmise prin UDP cu overhead numai sub formă de funcții de criptare, decriptare și HMAC și un canal de control care oferă toate capabilitățile Protecție TLS, inclusiv autentificarea pe bază de certificat și secretul Diffie-Hellman.
Pentru a utiliza modul TLS, fiecare peer care rulează OpenVPN trebuie să aibă propriul certificat local/pereche de chei (–cert și –key) semnat pe certificatul rădăcină specificat în –ca.
Când doi colegi se conectează unul la altul, fiecare îi prezintă celuilalt certificatul său local. Fiecare peer verifică apoi că peer-ul său a furnizat un certificat semnat pe certificatul rădăcină specificat în –ca.
Dacă această verificare are succes pentru ambii parteneri, conexiunea TLS va fi stabilită cu succes, ambii parteneri vor schimba cheile de sesiune temporară, iar tunelul va începe să transmită date.
Kitul de distribuție MagPro OpenVPN-GOST conține un set de scripturi pentru gestionarea certificatelor și cheilor RSA situate în subdirectorul easy-rsa.
– – –
–pkcs11-protectd- Utilizați calea de autentificare protejată PKCS#11, autentificarea... utilă pentru dispozitive biometrice și tastaturi externe. Fiecare furnizor are propriile setări.
– – –
23.9 Mod de configurare a tunelului persistent TUN/TAP Disponibil pe Linux 2.4.7+. Aceste opțiuni includ un mod independent MagPro OpenVPN-GOST, care poate fi folosit pentru a crea și șterge tuneluri persistente.
– – –
23.12 Scripturi și variabile de mediu MagPro OpenVPN-GOST exportă o serie de variabile de mediu utilizate în scripturile definite de utilizator.
23.12.1 Ordinea de execuție a scriptului
– – –
23.12.2 Tipuri și conversie de șiruri În anumite cazuri, MagPro OpenVPN-GOST efectuează conversie de caractere în șiruri. Și anume, orice caractere care nu sunt incluse în setul de caractere permise pentru fiecare tip de șir vor fi convertite într-un caracter de subliniere.
Întrebare. De ce este necesară conversia șirurilor?
Răspuns. Aceasta este o caracteristică de securitate importantă concepută pentru a preveni codificarea rău intenționată a șirurilor de caractere din surse nesigure care sunt transmise ca parametri scripturilor, stocate în mediu, utilizate ca nume comun, traduse într-un nume de fișier etc.
Întrebare. Este posibil să dezactivați conversia șirurilor?
Răspuns. Da, folosind opțiunea –no-name-remapping, dar această opțiune ar trebui considerată opțională.
Iată o scurtă descriere a tipurilor de linii disponibile în MagPro OpenVPN-GOST și a claselor de caractere permise pentru fiecare linie.
Nume X.509: litere și cifre, liniuță de subliniere (_), cratimă (-), punct (.), at-trade (@), două puncte (:), bară oblică (/) și semnul egal ( =). Literele și numerele sunt definite ca caractere care fac ca funcția bibliotecii C isalnum() să returneze true.
Câmpuri de nume comun: litere și cifre, liniuță de subliniere (_), cratimă (-), punct (.) și comercial (@).
–auth-user-pass username: La fel ca și câmpurile Common Name, cu o singură excepție:
parametrul nume de utilizator este transmis pluginului OPENVPN_PLUGIN_AUTH_USER_PASS_VERIFY ca atare, fără conversie.
–parolă auth-user-pass: orice caracter „printabil”, cu excepția CR și LF. Caracterele imprimabile sunt definite ca caractere care fac ca funcția de bibliotecă C isprint() să returneze true.
–client-config-dir nume de fișier așa cum este derivat din câmpurile nume comun sau nume de utilizator:
Litere și cifre, liniuță de subliniere (_), cratima (-) și punct (.), cu excepția „." și „..” ca linii separate, precum și simbolul at-comercial (@) adăugat pentru compatibilitate Numărul secvenței modificării Semnătura persoanei responsabile de modificarea datei modificării SEIU.00022-01 31 01 131 cu caracterul numelui comun clasă.
Numele variabilelor de mediu: litere și cifre sau liniuță de subliniere (_).
Valori variabilelor de mediu: orice caracter imprimabil.
În toate cazurile, caracterele din șir care nu sunt membre ale clasei de caractere permise pentru acel tip de șir sunt convertite într-un caracter de subliniere.
23.12.3 Variabile de mediu Odată setată, o variabilă de mediu persistă până când este resetată sau sistemul este repornit.
În modul server, variabilele de mediu setate de OpenVPN sunt determinate în funcție de obiectele client cu care sunt asociate, așa că nu ar trebui să existe niciun caz în care scripturile accesează variabile setate anterior care se aplică altor instanțe client.
În 2016, la Conservatorul de Stat din Ural a avut loc premiera operei „Sevilia...” a lui G. Rossini.
«www.carsound.com.ua RECEPTOR DVD ȘI CD PLAYER KD-DV4405/KD-DV4406 Pentru a anula demonstrația de afișare, consultați pagina 5. Instrucțiunile de instalare și conectare sunt furnizate într-un manual separat. INSTRUCȚIUNI DE UTILIZARE GET0514-003A Vă mulțumim...”
„L. P. Sergievskaya Mai multe specii noi din Siberia de Vest S p e c i e s n o n n u l l a e n o v a e e Sibiria o c c i d e n t a l ! auctore L. S e r g i e v s k a j a La revizuirea Zap.-Sib. departamentul Herbarului numit după prof. P. N. Krylova, în legătură cu compilarea volumului XII „Flora Siberiei de Vest, au apărut noi specii de plante, descrieri ale căror...”
") DIRECȚIA PRINCIPALĂ A SERVICIULUI HIDROMETEOROLOGIC ÎN ÎN FIȘĂ CONSILIULUI MINISTRILOR URSS OB PROCEDURI ALE PRINCIPALULUI OBSERVATOR GEOFIZIC NUMIT DUPĂ A.I. VOEIKOV EMITĂȚI 88 NUMĂRURI DE ACORDĂ GENERALĂ ȘI SINOPTICĂ DE SCOLIDERIE...” MINATIE DE ÎNVĂȚĂMÂNTUL SUPERIOR ȘI SECUNDAR SPECIAL ACADEMIA DE ȘTIINȚE SSR Ucraineană 7SSR KHLRKOVSKYA GOSUNIVERSIG12T INTERACȚIUNEA PARTICULUI ATOMICE CU CORPURI SOLIDE I HARKOV 7-9 *"nya..." state membre ale Comunității Statelor Independente, acordând o mare importanță dezvoltării cooperării în..."
„un subiect diferit și scopul actualului sondaj este de a urmări efectele recesiunii economice în...”
"Trăsăturile adolescenței ca factor de risc pentru dezvoltarea dependenței de droguri. Adolescența (pubertatea) a fost mult timp considerată un factor care contribuie la dezvoltarea alcoolismului și a abuzului de substanțe (Lichko..."
„ANTICITATE ŞI EVUL MEDIU, VOLUM. 10, 1973 A. P. Kazhdan COMPOZIȚIA CLASEI REGULEI ÎN BIZANTUL secolele XI-XII. CHESTIONAR ȘI CONCLUZII SPECIALE 1. Partea VI. EUNUCII Un grup special al clasei conducătoare a Bizanțului era format din eunuci, dintre care a fost recrutat un anumit tip...”
APROBAT de: Director al BUK VO „Biblioteca științifică universală regională Vologda numită după I.V. Babușkin” T.N. Bukhantsev _ _ baza, trebuie să asigure: stabilitatea lățimii ecartamentului; Necesar..."
2017 www.site - „Bibliotecă electronică gratuită - materiale electronice”
Materialele de pe acest site sunt postate doar în scop informativ, toate drepturile aparțin autorilor lor.
Dacă nu sunteți de acord că materialul dvs. este postat pe acest site, vă rugăm să ne scrieți, îl vom elimina în termen de 1-2 zile lucrătoare.
Destul de des există o situație în care o organizație s-a configurat și funcționează deja rețea virtuală OpenVPN cu criptare RSA, iar clienții sunt dispersați, în cel mai bun caz, într-un singur oraș. Mai devreme sau mai târziu, devine necesară criptarea canalului conform GOST.
În acest articol puteți afla cum să faceți o tranziție completă la algoritmii criptografici GOST în cadrul OpenVPN fără a părăsi biroul. Toate exemplele sunt luate pe baza sistemului de operare Debian, cu toate acestea, algoritmul și nuanțele sunt aceleași pentru toate sistemele de operare pe care le suportăm, doar comenzile diferă.
Migrare pe partea serverului.
- Instalați instrumentul de protecție a informațiilor criptografice „MagPro CryptoPacket” în versiunea „OpenVPN-GOST”.
- Creați un fișier de inițializare pentru software-ul DSC, pentru a face această rulare
sudo -H /opt/cryptopack3/bin/mkseed -r
și urmați instrucțiunile programului.După parcurgerea primilor doi pași, se va instala setul complet de software necesar pentru ca OpenVPN să funcționeze cu algoritmii GOST. În acest caz, canalul deja configurat cu criptare RSA va continua să funcționeze.
- În catalog /etc/openvpn-gost/ creați un fișier de configurare openvpn-gost.conf, care va descrie crearea unui canal suplimentar cu criptare GOST. Ca bază, puteți lua fișierul server.conf.sample instalat în același director (probabil că nu va trebui să schimbați nimic în el).
- Generați cheile și certificatele necesare pentru a porni serverul (acest lucru se poate face folosind un set de scripturi easy-gost, care este inclus în livrare, și specificați calea corectă către acestea în fișierul de configurare.
- Lansați OpenVPN-GOST
sudo -H /etc/init.d/openvpn-gost start
Migrarea clientului
Apoi, trebuie să transferați clienți pentru a utiliza „OpenVPN-GOST”. Nu există o modalitate unică de a înlocui un kit de utilizator, dar, în general, procesul ar putea arăta astfel:- Pregătirea unei distribuții de utilizator (de exemplu, scrierea unui fișier de configurare corect care va oferi funcționalitatea necesară)
- Plasarea acestei distribuții pe interior server de fișiere organizatii
- Notificarea utilizatorilor că trebuie să descarce și să instaleze o nouă versiune de software
În mod ideal, cheile private ale clientului și cererile de certificate ar trebui să fie generate din partea utilizatorului utilizând CIPF furnizat, după care cererea de certificat ar trebui să fie transferată la o CA (kit-ul de server MagPro CryptoPacket CIPF poate acționa ca CA).
Cu toate acestea, atunci când se utilizează software în cadrul unei organizații, se practică adesea generarea centralizată a unui set de clienți (inclusiv chei private). Merită să înțelegeți că atunci când transferați chei private, trebuie să îndepliniți cerințele Regulilor de funcționare a CIPF și PKZ-2005, în special prin transferul cheilor printr-un canal de comunicare securizat.
De asemenea, este util să oferiți utilizatorilor instrucțiuni. Pentru sistemul de operare Windows, în general, va fi după cum urmează:
- Descărcați kitul de distribuție „OpenVPN-GOST” de pe linkul <link>
- Șterge versiune veche OpenVPN folosind instrumente standard de sistem
- Instalați o nouă versiune folosind distribuția descărcată de pe serverul de fișiere
- Plasați <următoarele fișiere> (de exemplu, chei și certificate) în directorul <directory>
- Lansați „OpenVPN-GOST” folosind pictograma de pe desktop
Desigur, migrarea clienților va dura ceva timp, în funcție de cât de repede răspund utilizatorii.
În general, această metodă este cea mai convenabilă și vă permite să transferați utilizatori la noua versiune de OpenVPN-GOST fără a părăsi biroul.