Grundlagen und Anwendung virtueller privater Netzwerke mit Open-Source-Tools ADDISON-WESLEY. An imprint of Pearson Education

Transkript

1 Ralf Spenneberg VPN mit Linux Grundlagen und Anwendung virtueller privater Netzwerke mit Open-Source-Tools ADDISON-WESLEY An imprint of Pearson Education München Boston San Francisco Harlow, England Don Mills, Ontario Sydney Mexico City Madrid Amsterdam

2 Inhaltsverzeichnis Vorwort zur 2. Auflage 23 I Grundlagen 27 Einleitung 29 1 Was ist ein virtuelles privates Netzwerk? 31 2 Aufgaben eines VPN Gefahren im Internet Schutz durch eine Firewall Paketfilter Proxy-Firewall Zusammenfassung 39 3 Schutz durch ein VPN Authentifizierung Vertraulichkeit Integrität Vor- und Nachteile eines VPN VPNsund Firewalls 50 4 Open-Source und Sicherheit 55 5 Kommerzielle Lösungen Cisco Checkpoint FW-1/VPN Microsoft Windows Microsoft Windows 98/ME/NT SSH Sentinel GreenBow-VPN-Client SafeNet SoftRemote OpenBSD, FreeBSD, NetBSD Weitere Produkte 62

3 6 Verschiedene VPN-Szenarien Kommunikation zwischen zwei Netzwerken Kommunikation zwischen zwei Rechnern Kommunikation zwischen vielen festen Standorten Anbindung von Telearbeitsplätzen an einen Standort Anbindung von Außendienstmitarbeitern (Roadwarriors) an einen Standort Absicherung eines Wireless LAN Opportunistische Verschlüsselung 67 7 Kryptografie Einleitung Geschichte Symmetrische Verschlüsselung Data Encryption Standard (DES) DES International Data Encryption Algorithm (IDEA) RC4/RC5/RC Blowfish Twofish AES Weitere Verfahren Cipher Block Chaining (CBC) Asymmetrische Verschlüsselung Das Beste aus beiden Welten Public-Key-Schlüssellängen RSA ElGamal Digital Signature Algorithm (DSA) Diffie-Hellman Hash-Funktion MD SHA 88 8 VPN-Protokolle Einleitung IPsec Integrität und Authentifizierung bei IPsec 91 12

4 8.4- Verschlüsselung bei IPsec Anti-Replay-Schutz Tunnel- und Transportmodus Authentication Header-AH Encapsulated Security Payload -ESP Security Association Security Policy Internet Key Exchange- IKEvl Der Main-Modus Der Aggressive-Modus Der Quick-Modus UDP Encapsulation DHCP-over-IPsec IKEv Überblick IKEv2 im Detail CREATE_CHILD_SA-Nachrichten INFORMATIONAL-Nachrichten Cookies Implementierungen L2TP 118 II Praktische Umsetzung IPsec mit dem Linux-Kernel Geschichte Lizenz Installation Kernel Userspace-Befehle Konfiguration Das Kommando setkey Manuell verschlüsselte Verbindung Manuelle Verbindung im Transportmodus Manuelle Verbindung im Tunnelmodus

5 10.3 Erweiterungen und Anmerkungen Fazit Openswan und strongswan Hintergründe Lizenz Installation von Openswan Kompilierung und Installation des Sourcecodes Installation von strongswan Kompilierung und Installation des Sourcecodes Openswan-Komponenten StrongSwan-Komponenten Konfiguration von Openswan und strongswan Allgemeine Konfigurationsparameter ipsec.secrets ipsec.conf Setup-Parameter Verbindungsparameter Allgemeine Parameter Der Kommandozeilenbefehl ipsec Openswan ipsec strongswan-ipsec-starter: ipsec Automatische Verbindung mit dem Pluto-IKE-Daemon Konfiguration Authentifizierung mit PreShared Keys (PSK) Aufbau des Tunnels Verbesserungen und Erweiterungen Fazit Automatisch verschlüsselte Verbindung mit X.509-Zertifikaten Erzeugung von X.509-Zertifikaten mit OpenSSL Anpassungen in der Konfiguration Aufbau des Tunnels Verbesserungen und Erweiterungen Erweiterte Nutzung der Zertifikate bei strongswan Zertifikate mit Wildcards

6 Nutzung der CA-Zertifikate für Tunnel X.509-Attribute Fazit 197 H Roadwarrior 199 U.1 Roadwarrior mit PreShared Key(PSK) 200 U.1.1 VPN-Gateway Roadwarrior-Konfiguration Roadwarrior in Aggressive-Modus Fazit Roadwarrior mit X.509-Zertifikaten VPN-Gateway Roadwarrior Fazit Konfiguration der Firewall Nutzung von leftfirewall und rightfirewall Anpassung des _updown-scripts Fazit Automatische Verbindung mit racoon Konfiguration von racoon Start von Racoon Racoon-Konfigurationsdatei Steuerung mit racoonctl Verbindungen mit PreShared Keys Fazit Racoon undx.509-zertifikate Racoon und Roadwarriors Racoon als Roadwarrior OpenBSD Isakmpd Installation Anwendung mit PSKs Die Konfigurationsdatei isakmpd.conf Die Richtliniendatei isakmpd.policy Start und Test der Verbindung Anwendung mit einem X.509-Zertifikat

7 17.7 Die Konfigurationsdatei isakmpd.conf Die Richtliniendatei isakmpd.policy Die Erzeugung und Speicherung der X.509-Zertifikate Roadwarriors und der Isakmpd Aggressive-Modusund PSKs IKE-Config-Mode Fazit Aufbau heterogener virtueller privater Netze Einleitung Interoperabilitätsprobleme Microsoft Windows XP, Windows Vista und Windows MarkusMullersipsec.exe Shrew Soft VPN Client Checkpoint Firewall-1 NG Cisco 283 IM IKEv2 mit strongswan Verbindungen mit PreShared Keys PSKs und Roadwarriors Mob-IKE Narrowing der Traffic-Selektoren Datei strongswan.conf Charon Protokollierung libstrongswan Manager Mediator OpenAC Pluto IP-Adressen-Pools SCEPClient Verbindungen mit Zertifikaten Nutzung von URLs zur Übertragung der Zertifikate

8 22 Hybrid-Modus Radius Configuration Payload Das strongswan Network-Manager-Plug-In Windows 7 und IKEv Hochverfügbarkeit mit strongswan Das Problem der Synchronisation Mögliche Lösungen strongswan-ansatz ClusterIP Konfiguration 324 IV Fortgeschrittene Konfiguration und Fehlersuche Keymanagement Einleitung Zufallszahlen Lebensdauer von Schlüsseln Kennwörter und symmetrische Schlüssel Öffentliche Schlüssel X.509-Zertifikate Aufbau eines X.509-Zertifikats Public-Key-Infrastruktur - PKI Smartcard Aufbau einer Public-Key-Infrastruktur Einleitung Certificate Authority Registration Authority Directory Service TinyCA Installation Aufbau einer CA mit TinyCA Export der Zertifikate

9 28.3 XCA Installation Anwendung von XCA Migration einer CA zum XCA-Werkzeug OpenCA FirewalUng der IPsec-Verbindungen mit IPtables Aufbau einer Verbindung mit dynamischen IP-Adressen auf beiden Seiten Advanced Routing Gateway-Routing Nicht-IP-Tunnel GRE L2TP NAT-Traversal Alternative NAT-Konfiguration XAuth und IKE-Config-Mode DHCP-over-IPsec XAuth strongswan Openswan Racoon IKE-Config-Mode Openswan strongswan Racoon Isakmpd Kerberos Opportunistische Verschlüsselung Funktionsweise OE-Initiator Volle opportunistische Verschlüsselung OE-Gateway

10 36.5 Test der opportunistischen Verschlüsselung Policy-Gruppen Einsatz von Hardware-Kryptoprozessoren VIA Padlock OpenBSD Crypto Framework Prüfung der Zertifikate Automatisches Laden der CRL Racoon und Isakmpd Online Certificate Status Protocol (OCSP) Dead Peer Detection Hochverfügbarkeit Smartcard-Unterstützung Installation Installation von OpenCT Installation von PCSC-Lite Installation von OpenSC Installation von Openswan und strongswan Konfiguration des Lesegerätes und der Karte Anwendung in strongswan DMVPN NHRP OpenNHRP Fehlersuche *swan-debugging Debugging bei Racoon Racoon-Fehlermeldungen Debugging beim Isakmpd Weitere Werkzeuge für das Debugging Testumgebungen Testumgebung I Testumgebung II Physikalische Testumgebungen

11 20 INHALTSVERZEICHNIS 44.4 VMware KVM Aufbau virtueller Netzwerke 424 V OpenVPN2.x Einführung Betriebssysteme Aufbau Ein einfacher Tunnel Installation von OpenVPN 2.x Manuelle Installation OpenSUSE-RPM Fedora-RPM Debian und Ubuntu Konfiguration von OpenVPN Warum sollten Sie diesen Tunnel nicht verwenden? Zertifikate Easy-RSA Variablendefinition Zertifikatsautorität Zertifikate für Server und Clients Widerruf von Zertifikaten Diffie-HeUman-Parameter Verteilung der Schlüssel Konfigurationsanpassungen Verteilung von IP-Adressen Serverkonfiguration Client-Konfiguration Weitere Clients Weitere Optionen Änderung des Default-Gateways Feste Zuweisung von IP-Adressen 462

12 49 Zusätzliche Netze Zusätzliche Netze auf der Seite des Servers Zusätzliche Netze auf der Seite des Clients Kommunikation der Clients untereinander Fortgeschrittene Funktionen Sicherheit Wechsel des Benutzerkontextes Betrieb ohne jedes Root-Privileg Chroot Schlüsselungen Einsatz von Hardware-Beschleunigung Signatur der Pakete Verfügbarkeit TCP und Proxies TCP Proxy Gemeinsame Portnutzung mit einem Webserver OpenVPN im Bridge-Modus Windows Lastverteilung und Hochverfügbarkeit Quality of Service (QoS) OpenVPN-Management-Schnittstelle Anmeldung mit Benutzername/Kennwort Verzicht auf Client-Zertifikate Smartcards PKCS# Anpassungen in OpenVPN Microsoft CryptoAPI OpenVPN auf Windows Installation Windows Erzeugung eines eigenen Installationsprogramms

13 55 Grafische Oberflächen OpenVPN Management Tool OpenVPN-GUl OpenVPN-Admin KVpnc Tunnelblick 503 VI Anhang 505 Die CD-ROM zum Buch 507 Literaturverzeichnis 509 Stichwortverzeichnis