Introduo

Esse artigo o primeiro de uma srie de trs e trata da implementao de um servidor de VPN em seus vrios aspectos de segurana e praticidade. Na primeira parte ser abordado a configurao do OpenVPN com chaves estticas. Na segunda parte ser abordado a configurao com certificados digitais e na terceira parte a configurao do servidor em modo bridge. A forma mais simples de configurar o penVPN utili!ar chaves estticas" onde criado um ar#uivo de $%&' bits utili!ado para criptografar os dados transmitidos pelo t(nel" essa chave oferece um n)vel de segurana mediano" devido a chave ser esttica e seu algoritmo no mudar a cada cone*o" sempre h a possibilidade de um atacante descobrir a chave. A soluo mais simples e vivel seria trocas as chaves periodicamente fa!endo com #ue essas tentativas de invaso se tornem inefica!es. penVPN um dos soft+ares de c,digo aberto mais utili!ados e seguros para implementao de uma -Virtual Private Net+or.- ou -/ede Virtual Privada-. 0sto se deve ao fato de ser seguro" prtico e de fcil implementao. 1ma VPN tem muitas vantagens em ambientes corporativos ou at mesmo residenciais. 2rata3se de uma forma de compartilhar ar#uivos" impressoras ou at mesmo um sistema de gesto de forma segura. Antigamente a (nica forma de interligar redes era utili!ando lin. dedicados com endereos 0P p(blicos" mas o valor da infra3estrutura muitas ve!es no era 4ustificvel. 5om o penVPN podemos interligar um n(mero de filiais indefinidos" com custos relativamente bai*os e podemos utili!ar endereos 0P p(blicos no fi*os" utili!ando o servio de 6N7 din8mico. 7abemos #ue nenhuma VPN 9%%: segura" mas com os servios bem configurados e um fire+all totalmente fechado os riscos de invaso so pe#uenos. 1ma observao importante #ue a VPN cria interfaces virtuais no servidor" sendo #ue estas interfaces devem estar com endereo 0P diferente dos da rede interna. A seguir mostrarei um esboo de como ficaro os endereos da rede interna e da VPN. No decorrer do artigo veremos #ue implementar uma VPN uma tarefa simples" desde #ue fi#ue bem entendido como seu funcionamento. ;ets go<

=atri!>

eth% 3 Velo* com endereo 6N7 din8mico> openvpn.no3ip.info? eth9 3 9@$.9A'.%.9 3 rede interna? tun% 3 9%.A.%.9 3 endereo 0P VPN.

Bilial>

eth% 3 Velo*? eth9 3 9@$.9A'.9.9 3 rede interna-? tun% 3 9%.A.%.$ 3 endereo 0P VPN.

Instalando e configurando OpenVPN na matriz

Primeiramente vamos fa!er a instalao do penVPN na matri!> # apt-get install openvpn Agora vamos acrescentar o mdulo tun dentro do ar#uivo /etc/modules para #ue ele se4a carregado no .ernel a cada boot. m,dulo tun responsvel pelas interfaces virtuais #ue o penVPN cria> # echo tun >> /etc/modules 5om o penVPN instalado e o m,dulo tun carregado no .ernel" vamos C configurao. Acesse o diret,rio DetcDopenvpnD" a#ui dentro onde sero criados os ar#uivos de configurao e a chave esttica. A chave criada no servidor depois deve ser copiada para todas as filiais #ue se conectaro C VPN. Pode3se utili!ar as chaves de duas formas" a primeira utili!ar uma (nica chave para todos os clientes e a segunda utili!ar uma chave para cada cliente" do ponto de vista de segurana o ideal seria utili!ar uma chave para cada cliente. No caso de um atacante conseguir obter uma das chaves" conseguir somente se conectar a uma (nica filial e no a todas. 1ma alternativa para melhorar a segurana e tornar esses ata#ues inefica!es fa!er a troca das chaves periodicamente.

Abai*o vamos criar a chave> # openvpn --gen e! --secret chave" e! Agora vamos C configurao do penVPN> # vim matriz"conf E 0nterface da VPN dev tun E Endereo 0P servidorDfilial ifconfig 9%.A.%.9 9%.A.%.$ E Protocolo proto udp E Porta VPN port 99@& E 5have esttica secret DetcDopenvpnDchave..eF E =onitoramento da cone*o> primeiro n(mero ping" segundo restart da vpn em segundos .eepalive 9% 9$% E 5ompresso de dados comp3l!o E =antm a interface tun carregada #uando a vpn reiniciada persist3tun E =antm a chave carregada #uando a vpn reiniciada persist3.eF E 5aso o 0P mude" o t(nel continua estabelecido float E N)vel do log verb G E 0nformaHes de status da cone*o status DvarDlogDopenvpnDmatri!3staus.log E Ar#uivo de log log3append DvarDlogDopenvpnDmatri!.log E 5riando rotas

up DetcDopenvpnDrotas.up E Apagando rotas do+n DetcDopenvpnDrotas.do+n 6epois de a4ustar o ar#uivo de configurao criaremos os ar#uivos de log do penVPN" os logs so muito importantes para detectar algum erro de cone*o" ver informaHes dos clientes" entre outras informaHes. # m dir /var/log/openvpn # touch /var/log/openvpn/matriz-status"log # touch /var/log/openvpn/matriz"log Antes de iniciarmos a VPN vamos criar as rotas para acesso C filial" como vimos no esboo" o endereo da VPN diferente do endereo da rede interna" a principio o servidor s, consegue pingar no endereo 0P do t(nel da filial I9%.A.%.$J. Para o servidor e os micros da rede conseguirem pingar e acessar os micros da filial" preciso adicionar uma rota no servidor indicando a encaminhar os pacotes com destino a filial pelo t(nel. Vamos criar dois ar#uivos dentro de DetcDopenvpnD" um ar#uivo cria as rotas #uando a VPN iniciada e o outro ar#uivo apaga as rotas #uando a VPN parada. # vim rotas"up route add 3net 9@$.9A'.9.% netmas. $KK.$KK.$KK.% g+ 9%.A.%.9 dev tun% # vim rotas"do#n route del 3net 9@$.9A'.9.% netmas. $KK.$KK.$KK.% g+ 9%.A.%.9 dev tun% Agora vamos iniciar a VPN> # /etc/init"d/openvpn start Em caso de alguma mensagem de erro ou aparecer -Bailed- ao iniciar a VPN" pode consultar o log> # tail -f /var/log/openvpn/matriz"log Prontinho...

Instalando e configurando OpenVPN na filial

Agora vamos fa!er a instalao e configurao do penVPN na filial" a configurao praticamente igual" s, devem ser observadas algumas configuraHes m)nimas. Primeiramente vamos comear instalando o penVPN> # apt-get install openvpn 0gualmente feito na matri!" devemos adicionar o m,dulo tun dentro do ar#uivo /etc/modules. # echo tun >> /etc/modules Agora devemos copiar a chave esttica criada no servidor para dentro de DetcDopenvpnD" com a chave copiada vamos C configurao do penVPN> # vim filial"conf E Endereo 0P servidor remote openvpn.no3ip.info E 0nterface da VPN dev tun E Endereo 0P filialDservidor ifconfig 9%.A.%.$ 9%.A.%.9 E Protocolo proto udp E Porta VPN port 99@& E 5have esttica secret DetcDopenvpnDchave..eF E =onitoramento da cone*o" primeiro n(mero ping" segundo restart da VPN .eepalive 9% 9$% E 5ompresso de dados comp3l!o E =antm a interface tun carregada #uando a VPN reiniciada persist3tun E =antm a chave carregada #uando a VPN reiniciada persist3.eF E 5aso o 0P mude o t(nel continua estabelecido float E N)vel do log

verb G E 0nformaHes de status da cone*o status DvarDlogDopenvpnDfilial3staus.log E Ar#uivo de log log3append DvarDlogDopenvpnDfilial.log E 5riando rotas up DetcDopenvpnDrotas.up E Apagando rotas do+n DetcDopenvpnDrotas.do+n Vamos agora criar os ar#uivos de log> # m dir /var/log/openvpn # touch /var/log/openvpn/filial-status"log # touch /var/log/openvpn/filial"log Agora vamos criar o ar#uivo com as rotas para acesso C matri!> # vim rotas"up route add 3net 9@$.9A'.%.% netmas. $KK.$KK.$KK.% g+ 9%.A.%.$ dev tun% # vim rotas"do#n route del 3net 9@$.9A'.%.% netmas. $KK.$KK.$KK.% g+ 9%.A.%.$ dev tun% Agora s, iniciar a VPN> # /etc/init"d/openvpn start Prontinho... A matri! e a filial esto L< bs.> 7e no tiver nenhum fire+all no servidor da matri! e da filial" 4 pode dar um ping ou acessar um compartilhamento na m#uina da outra rede. 5omo eu duvido #ue ningum #ue tem um pouco de conhecimento em segurana colocaria uma VPN no ar sem um fire+all" vamos criar algumas regras para liberar a cone*o da VPN e o trfego do t(nel.

$i%erando portas no fire#all

Mem" como foi dito no in)cio do artigo" nenhuma VPN 9%%: segura" devemos configurar com cuidado todos os servios necessrios para ter uma VPN estvel e sem riscos" um firewall o m)nimo de segurana necessria.

Vamos criar algumas regras de fire+all liberando a cone*o da VPN e o trfego do t(nel. Estou presumindo #ue o fire+all da matri! e filial esto com o policiamento da chains 0NP12 e B /NA/6 como drop. Bire+all matri!> E ;iberando porta de cone*o VPN iptables 3t filter 3A 0NP12 3i ppp% 3p udp 33dport 99@& 34 A55EP2 E ;iberando trfego do t(nel iptables 3t filter 3A B /NA/6 3i tun% 34 A55EP2 iptables 3t filter 3A 0NP12 3i tun% 34 A55EP2 Bire+all filial> E ;iberando porta de cone*o VPN iptables 3t filter 3A 0NP12 3i ppp% 3p udp 33dport 99@& 34 A55EP2 E ;iberando trfego do t(nel iptables 3t filter 3A B /NA/6 3i tun% 34 A55EP2 iptables 3t filter 3A 0NP12 3i tun% 34 A55EP2 Pronto<

&oncluso
Espero #ue esse artigo tenha esclarecido muitas d(vidas em como configurar uma VPN. 5omo vimos no decorrer do artigo" a configurao bastante simples e rpida. Nos outros artigos #ue escreverei tratarei mais a fundo segurana e certificados digitais" uma ve! #ue em uma rede corporativa a segurana primordial. http>DD+++.vivaolinu*.com.brDartigoD5onfiguracao3de3um3servidor3VPN3com3 penVPN3e3chave3estaticaOpaginaP9