Modulo 8

VPN

Una virtual private network (VPN) è un modo di usare la cifratura in modo tale che si possa usare una rete pubblica (ad esempio Internet) come se fosse una rete privata (uno spezzone del nostro cablaggio). Una VPN è il tentativo di combinare i vantaggi della rete pubblica (è economica e diffusa) con alcuni dei vantaggi della rete privata (è sicura).

In sostanza tutte le VPN che usano Internet impiegano lo stesso principio: il traffico viene cifrato, protetta l'integrità e incapsulato in nuovi pacchetti i quali sono mandati in Internet dove qualcuno rifarà a ritroso l'operazione sul traffico ricevuto.

Le VPN non sono esattamente una tecnologia di firewall ma spesso sono discusse in argomenti di firewall per i seguenti motivi:

• se usi una VPN con un firewall devi fare attenzione poichè il firewall non può controllare il traffico entrante nella VPN e questo può essere un modo per evitare il controllo del firewall e aprire delle insicurezze.
• il firewall è il posto più conveniente per aggiungere la funzionalità di VPN.
• spesso l'uso di VPN è il mezzo per fornire servizi remoti che non possono essere resi sicuri usando tecniche di firewall.

Il protocollo che è diventato lo standard de facto per questo tipo di comunicazione è IPSec (Internet Protocol Security), del quale sono disponibili numerose implementazioni a seconda dell'amibiente in cui viene impiegato. Il pacchetto IPSec più in uso in ambiente Linux è Openswan IPSEC.

Tre sono i protocolli usati:

• AH (Authentication Header) fornisce il servizio di autenticazione a livello di pachetto.
• ESP (Encapsulating Security Payload) fornisce cifratura con autenticazione.
• IKE (Internet Key Exchange) negozia i parametri di connessione, incluse le chiavi, per gli altri due.

L'implementazione è realizzata in tre parti:

• KLIPS (kernel IPsec) implementa AH, ESP, e la manipolazione del pacchetto a livello di kernel.
• Pluto (an IKE daemon) implementa IKE, e la negoziazione della connessione con altri sistemi.
• vari script che fornisco l'interfaccia per l'amministratore della macchina.

Comunque una buona documentazione di IPSec la trovi nel sito stesso.

La configurazione di IPSec

I due file di configurazione sono:

• ipsec.secrets
  Il file ipsec.secrets contiene una tabella di secrets. Questi sono usati da ipsec_pluto, il demone Internet Key Exchange (IKE), per autenticare gli altri host. Noi memorizzeremo solo un tipo di secrets: le chiavi RSA che avremo per l'occasione generato con:

  ipsec newhostkey > /etc/ipsec.secrets
  chmod 600 /etc/ipsec.secrets
  	

  È vitale che il file sia di appartenenza del super-user, e che le sue permission ne impediscano l'accesso da tutti gli altri utenti. Una volta installata la chiave nel file ipsec.secrets il passo successivo è distribuire la chiave pubblica a tutti i sistemi con cui prevedi di configurare una connessione con chiavi pubbliche. Per estrarre la parte pubblica in un formato corretto occorre dare i comandi:

  ipsec showhostkey --left
  ipsec showhostkey --right
  	

  Nel caso in cui si voglia averla in un formato per inserirla in un record di tipo KEY per il DNS il comando diventa:

  ipsec showhostkey
  	

  L'aspetto del file è il seguente:

  # This file holds shared secrets or RSA private keys for inter-Pluto
  # authentication.  See ipsec_pluto(8) manpage, and HTML documentation.
  # $Id: VPN.html,v 1.16 2006-11-20 07:43:35 doros Exp $
  #
  #
  # RSA private key for this host, authenticating it to any other host
  # which knows the public part.  Suitable public keys, for ipsec.conf, DNS,
  # or configuration of other implementations, can be extracted conveniently
  # with "ipsec showhostkey".
  : RSA   {
      # RSA 1024 bits   gateL   Wed Aug  6 21:59:18 2003
      # for signatures only, UNSAFE FOR ENCRYPTION
      #IN KEY 0x4200 4 1 AQNw76rLzb6ATTlZty9SunFr3skE4x/hADmqQmT1ux/jvwE27l4...
      # (0x4200 = auth-only host-level, 4 = IPSec, 1 = RSA)
      Modulus: 0x70efaacbcdbe804d3959b72f52ba716bdec904e31fe10039aa4264f5bb1...
      PublicExponent: 0x03
      # everything after this point is secret
      PrivateExponent: 0x12d29c774cf5156234399e87e31f12e74fcc2b7b2ffad55ef1b...
      Prime1: 0xda7cb713a68ebf29f833426e41b0552ed0b9886ef74e315c2c5c17ef643b...
      Prime2: 0x84539cf66d1173cf6936b427340c96a5d50c52c6cfdfd26ee335029cc6f6...
      Exponent1: 0x91a87a0d19b47f7150222c49812038c9e07bb049fa3420e81d92ba9f9...
      Exponent2: 0x5837bdf99e0ba28a4624781a22b30f1938b2e1d9dfea8c49ecce01bdd...
      Coefficient: 0x018a69edc1278a81f89fd81f5efca57d8c6945d93252eef8a274783...
      }
  # do not change the indenting of that "}"
  

  dove la chiave RSA è stata generata con il comando ipsec rsasigkey 1024.
• ipsec.conf
  Il file ipsec.conf specifica molte delle configurazioni e controlli per il sottosistema FreeS/WAN. Il suo contenuto non ha informazioni sensibili per la sicurezza a meno che non sia usata la chiave manuale.
  Il file è un file di testo, formato da una o più sezioni:
  • conn sections
    contiene le definizioni di una connessione di rete da instaurare con IPSec. Il nome è arbitrario e serve per identificare la connessione. Ecco un esempio:

    conn sample
     # Left security gateway, subnet behind it, next hop toward right.
     left=212.1.1.1
     leftsubnet=10.10.10.0/24
     leftnexthop=212.1.1.2
     # Right security gateway, subnet behind it, next hop toward left.
     right=212.1.2.1
     rightsubnet=10.10.20.0/24
     rightnexthop=212.1.2.2
     # To start the connection at startup
     auto=start
    
    

    Allo scopo di evitare l'editing del file di configurazione per adattarlo a ciascun sistema coinvolto nella connessione, le specifiche delle connessioni sono scritte in termini di sinistro (left) e destro (right) invece che in termini di locale e remoto. Quale dei partecipanti sia considerato sinistro o destro è arbitrario; IPSec lo identifica in base a informazioni interne. Questo permette di usare le stesse specifiche di connessione per entrambe le estremità. Left rappresenta l'indirizzo pubblico del gateway sinistro. Leftsubnet è l'indirizzo della rete privata sinistra. Leftnexthop è il router di riferimento per la connessione alla rete publica sinistra. La stringa auto=start specifica che la connessione viene attivata allo startup del demone.
  • config section
    Al momento presente l'unica sezione config è quella chiamata setup che contiene informazioni usate quando il software viene fatto partire. Ecco un esempio:

    config setup
     interfaces="ipsec0=eth1"
     # Debug-logging controls: "none" for (almost) none, "all" for lots.
     klipsdebug=none
     plutodebug=none
     plutoload=%search
     plutostart=%search
     # Close down old connection when new one using same ID shows up.
     uniqueids=yes
            

    dove interface è una lista di coppie del tipo virtual=physical.

I file di configurazione per il nostro esempio sono:

• ipsec.conf e ipsec.conf coincidenti
• ipsec.secrets valido per il gateway left
• ipsec.secrets valido per il gateway right

• la security policy del firewall
  Possiamo ora stabilire una semplice politica di sicurezza:
  "Rifiutare tutte le connessioni iniziate dalla rete pubblica verso il firewall e verso la LAN da lui protetta, tranne quelle dirette alla porta 22/tcp per l'amministrazione remota e quelle dirette verso la porta 80/tcp delll'host pcL che partono dall'host pcR. Il traffico in uscita dal firewall e dalla LAN protetta è invece permesso, ma solo per i protocolli DNS, SSH, HTTP/HTTPS, SMTP."
  Vediamo in dettaglio solo i files più importanti:
  • Left Gateway
    • zones: descrive il partizionamento della rete in zone;
    • policy: lista di regole di default per la gestione della sicurezza a livello del firewall;
    • rules: lista di regole che infrangono le regole espresse nella policy;
    • interfaces: elenco delle interfacce fisiche;
    • tunnels: per la configurazione di tunnel IPSec;
    • masq: per configurare il mascheramento.
  • Rigth Gateway
    • zones: descrive il partizionamento della rete in zone;
    • policy: lista di regole di default per la gestione della sicurezza a livello del firewall;
    • rules: lista di regole che infrangono le regole espresse nella policy;
    • interfaces: elenco delle interfacce fisiche;
    • tunnels: per la configurazione di tunnel IPSec;
    • masq: per configurare il mascheramento.

Sandro Doro (email me)
Ultima modifica: $Date: 2006-11-20 07:43:35 $