lunedì 28 Settembre 2020

Download in corso

Softwareone.it

30-12-2018

Rete Virtuale con OpenVPN

OpenVPN è un software open-source che consente di creare VPN sicure facendo ricorso ai protocolli SSL/TLS (Secure Socket Layer/Transport Layer Security).

Pubblicità

Installazione

Installare OpenVPN, seguire la procedura guidata, eventualmente modificando alcuni parametri come la directory di installazione del programma, se necessario.

OpenVPN supporta due modalità di collegamento differenti tra client e server: Bridged e Routed.

La prima modalità che ha i seguenti vantaggi sulla seconda:

I messaggi broadcast, destinati cioè a tutti, vengono comunque inoltrati tramite la VPN, attraversandola.

Questo consente l’utilizzo di protocolli quali NetBIOS e la conseguente possibilità di elencare le risorse di rete condivise sui vari computer della VPN.

E possibile utilizzare qualsiasi protocollo di livello 3, ad esempio IPv4, IPv6, Netware IPX, AppleTalkLa procedura di configurazione risulta relativamente semplice

I meccanismi che consentono a questo programma di garantire una comunicazione sicura attraverso la rete.

Sicurezza

Calcolare i parametri Diffie-Hellmann, parametri di funzionamento dell’ algoritmo, utilizzato per ottenere la cosiddetta “Session Key” o chiave di sessione che viene rigenerata ogni ora.

L’algoritmo RSA viene utilizzato per firmare i certificati del server e dei client

Pubblicità

Rispetto al più conosciuto algoritmo RSA il Diffie-Hellmann consente un calcolo molto rapido delle chiavi.

L’operazione più onerosa è relativa al calcolo dei parametri, ma viene svolta molto meno frequentemente.

Dopo aver generato i parametri Diffie-Hellmann creiamo quindi una chiave statica a 2048 bit che verrà utilizzata per aggiungere protezione alla nostra VPN.

OpenVPN prevede infatti l’aggiunta di una firma (signature) a tutti i pacchetti SSL/TLS scambiati tra client e server.

Qualsiasi pacchetto che non abbia la corretta signature, verrà eliminato senza ulteriori processi.

Questa soluzione ci protegge efficacemente dai seguenti attacchi:Attacchi di tipo Denial of Service (DoS)Port ScanningVulnerabilità di tipo Buffer Overflow nell’implementazione dei protocolli SSL/TLSNegoziazioni SSL/TLS iniziate da computer non autorizzati

Per attivare questa funzionalità è sufficiente abilitare la direttiva tls-auth nel file di configurazione di server e client.

OpenVPN utilizza per default il protocollo UDP, più rapido rispetto al TCP e in grado di garantire una maggiore protezione.

Esempio di utilizzo

I certificati e le chiavi private per server e client, come già accennato, devono essere generati sul computer che funge da server.

Copiare su ogni client la coppia di chiavi di accesso pubblica/privata (diversa per ciascuno), oltre naturalmente al certificato master della CA (file di nome ca.crt).

Avendo scelto proprio la modalità Bridged, client e server devono appartenere alla stessa sottorete.

Se client e server si trovano su due reti diverse, il bridge (che corrisponde al collegamento) si deve creare soltanto sul server.

In alternativa, per risolvere questo tipo di problema, sarebbe possibile anche configurare OpenVPN nella modalità Routed.

Ipotizziamo che server e client si connettano entrambi alla rete tramite un router.

Pubblicità

Sul server è necessario effettuare un’operazione di port forwarding della porta UDP scelta, verso l’indirizzo IP del computer che funge da server VPN.

Sui client è sufficiente mettere in bridging la connessione LAN con quella installata da OpenVPN ed assegnare gli stessi parametri della connessione originaria.

Se si utilizza un modem e non un router, non è necessario creare il bridge, ma disabilitare tutte le connessioni di rete non necessarie.

Sul server abilitare le direttive dev tun e server, disabilitare le corrispondenti direttive necessarie per la modalità Bridged

dev tap
dev tun
server 10.8.0.0 255.255.255.0
server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100  

Nel suddetto esempio i client riceveranno un indirizzo IP compreso tra 10.8.0.2 e 10.8.0.254 mentre il server si auto-assegnerà l’indirizzo IP 10.8.0.1.

La classe di indirizzi IP utilizzata nella direttiva server deve essere diversa da qualsiasi altra classe di IP presente sia lato client che lato server. Sui client è sufficiente abilitare la sola direttiva dev tun:

dev tap
dev tun   

Impostare a 1 la chiave di registro IPEnableRouter sia sui client che sul server VPN.

Riavviare i computer affinché la modifica abbia effetto e la VPN creata diventi utilizzabile:

Percorso.: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Nome Voce: IPEnableRouter
Valore : 1
Tipo : DWORD  

Scarica OpenVPV

https://it.wikipedia.org/wiki/Virtual_Private_Network

I commenti sono chiusi.

Pubblicità