Segurança em Sistemas de Comunicação 2013/2014 Trabalho Prático #2

Jorge Granjal – jgranjal@dei.uc.pt 1

Segurança em Sistemas de Comunicação 2013/2014

TRABALHO PRÁTICO #2

Sistemas VPN com IPSec (OpenSwan) e OpenVPN 1. Objectivos • Configuração de sistemas VPN no Linux utilizando o IPSec (OpenSwan) e OpenVPN. • Configuração de túneis VPN utilizando o IPSec (OpenSwan). • Acessos de clientes (road warriors) VPN utilizando o OpenVPN. 2. Trabalho prático O cenário de testes a utilizar no trabalho prático encontra-se representado na Figura 1. O cenário considera uma organização que dispõe de duas Redes internas (Coimbra e Lisboa), que pretende interligar através da Internet de forma segura utilizando para o efeito um túnel VPN com IPSec. Por outro lado, os utilizadores da própria organização podem ligar-se à sua rede interna através de túneis VPN com OpenVPN. O cenário considera igualmente a existência de uma Autoridade de Certificação (AC), utilizada para identificar e autenticar dispositivos e utilizadores.

Rede internaCoimbra

InternetGateway VPN

Túnel VPN (OpenVPN)

Road warrior

Gateway VPN

Túnel VPN (IPSec)

Rede internaLisboa

Autoridade de Certificação

Figure 1 - Cenário do Trabalho Prático

Segurança em Sistemas de Comunicação 2013/2014 Trabalho Prático #2

Jorge Granjal – jgranjal@dei.uc.pt 2

3. Requisitos de Configuração 3.1. Túnel VPN Lisboa/Coimbra com IPSec As duas redes internas da organização (Coimbra e Lisboa) deverão estar ligadas de forma segura através da Internet, utilizando para o efeito um túnel VPN IPSec. Para ativar este túnel iremos utilizar o OpenSWAN, considerando igualmente os seguintes requisitos: • A negociação de chaves deverá ser efetuada de forma automática, utilizando o protocolo

IKE (Internet Key Exchange) do IPSec.

• A autenticação (e respectiva autorização de criação de túneis IPSec) entre os gateways VPN de Coimbra e Lisboa deverá utilizar certificados X.509.

• Para que os certificados sejam considerados válidos, os gateways VPN deverão verificar

que os mesmos foram emitidos pela AC interna da organização e não foram entretanto revogados.

• O túnel VPN deverá permitir conectividade total entre as redes de Coimbra e Lisboa. 3.2. Acessos de clientes VPN com OpenVPN Os utilizadores da organização deverão poder ligar-se remotamente através de VPN à rede interna da organização. Dado suportar vários sistemas operativos, iremos utilizar o OpenVPN para este efeito, tendo em conta igualmente os seguintes requisitos: • A autenticação dos acessos (e respectiva autorização de criação dos túneis VPN) deve

recorrer igualmente a certificados X.509.

• A validação de certificados deve ocorrer nos clientes VPN (road warriors) e no gateway VPN de Lisboa. Para que um certificado seja considerado válido, deverá ter sido emitido pela AC interna da organização e não ter sido entretanto revogado.

• Após o estabelecimento do túnel VPN, os road warriors deverão dispor de acesso total às redes internas da organização (Coimbra e Lisboa).

3.3. Autoridade de Certificação privada Tal como referido anteriormente, todas as autenticações referentes ao estabelecimento de túneis VPN (com IPsec e com o OpenSwan) devem recorrer a certificados X.509. Neste contexto, pretende-se ativar uma AC privada, tendo em conta os seguintes objetivos:

Segurança em Sistemas de Comunicação 2013/2014 Trabalho Prático #2

Jorge Granjal – jgranjal@dei.uc.pt 3

• Utilizar o OpenSSL para ativar/criar a AC privada (representada na forma de uma certificado e chave privada).

• Utilizar a AC privada para criar e gerir certificados respeitantes aos gateways VPN do cenário e aos utilizadores da organização.

• Permitir a revogação (cancelamento) de certificados já emitidos, operação que deverá ter reflexo nas autenticações que deles dependam.

Relatório O relatório a entregar deverá incluir a seguinte informação: • Alterações efectuadas a ficheiros de configuração para ativar os serviços VPN

anteriormente descritos.

• Procedimentos para criação da AC privada e dos respetivos certificados X.509. • Descrição dos testes efectuados para comprovar o correto funcionamento dos

mecanismos de segurança implementados. • Restante informação que achar relevante.

Notas importantes: • Não serão aceites relatórios sem PGP.

• Cada dia de atraso na entrega da Meta 1 e/ou Relatório final equivale a uma penalização

de 20% na classificação final do trabalho. • METAS DE ENTREGA:

Meta 1: 14/11/2013 (Ficheiros de configuração base do OpenVPN e do OpenSwan, criação da AC privada com o OpenSSL). Entrega final: 21/11/2013.

• Trabalho individual ou em grupos de 2 alunos

Segurança em Sistemas de Comunicação 2013/2014 Trabalho Prático #2

Jorge Granjal – jgranjal@dei.uc.pt 4

Documentação de apoio: SSC, Texto de Apoio #5, “IPSec: VPN e Road Warriors” Gestão de Sistemas e Redes em Linux, Jorge Granjal, FCA 2010/2013, “Capítulo 16: Autoridades de Certificação” Gestão de Sistemas e Redes em Linux, Jorge Granjal, FCA 2010/2013, “Capítulo 21: Acessos Seguros com VPN” OpenSWAN, http://www.openswan.org OpenVPN, http://openvpn.net