Você está na página 1de 4

Segurana em Sistemas de Comunicao 2013/2014 Trabalho Prtico #2

Jorge Granjal jgranjal@dei.uc.pt 1



Segurana em Sistemas de Comunicao
2013/2014

TRABALHO PRTICO #2
Sistemas VPN com IPSec (OpenSwan) e OpenVPN


1. Objectivos

Configurao de sistemas VPN no Linux utilizando o IPSec (OpenSwan) e OpenVPN.
Configurao de tneis VPN utilizando o IPSec (OpenSwan).
Acessos de clientes (road warriors) VPN utilizando o OpenVPN.


2. Trabalho prtico

O cenrio de testes a utilizar no trabalho prtico encontra-se representado na Figura 1. O
cenrio considera uma organizao que dispe de duas Redes internas (Coimbra e Lisboa),
que pretende interligar atravs da Internet de forma segura utilizando para o efeito um tnel
VPN com IPSec. Por outro lado, os utilizadores da prpria organizao podem ligar-se sua
rede interna atravs de tneis VPN com OpenVPN. O cenrio considera igualmente a
existncia de uma Autoridade de Certificao (AC), utilizada para identificar e autenticar
dispositivos e utilizadores.

Rede interna
Coimbra
Internet
Gateway VPN
Tnel VPN (OpenVPN)
Road warrior
Gateway VPN
Tnel VPN (IPSec)
Rede interna
Lisboa
Autoridade de
Certificao

Figure 1 - Cenrio do Trabalho Prtico
Segurana em Sistemas de Comunicao 2013/2014 Trabalho Prtico #2

Jorge Granjal jgranjal@dei.uc.pt 2
3. Requisitos de Configurao


3.1. Tnel VPN Lisboa/Coimbra com IPSec

As duas redes internas da organizao (Coimbra e Lisboa) devero estar ligadas de forma
segura atravs da Internet, utilizando para o efeito um tnel VPN IPSec. Para ativar este
tnel iremos utilizar o OpenSWAN, considerando igualmente os seguintes requisitos:

A negociao de chaves dever ser efetuada de forma automtica, utilizando o protocolo
IKE (Internet Key Exchange) do IPSec.

A autenticao (e respectiva autorizao de criao de tneis IPSec) entre os gateways
VPN de Coimbra e Lisboa dever utilizar certificados X.509.

Para que os certificados sejam considerados vlidos, os gateways VPN devero verificar
que os mesmos foram emitidos pela AC interna da organizao e no foram entretanto
revogados.

O tnel VPN dever permitir conectividade total entre as redes de Coimbra e Lisboa.


3.2. Acessos de clientes VPN com OpenVPN

Os utilizadores da organizao devero poder ligar-se remotamente atravs de VPN rede
interna da organizao. Dado suportar vrios sistemas operativos, iremos utilizar o
OpenVPN para este efeito, tendo em conta igualmente os seguintes requisitos:

A autenticao dos acessos (e respectiva autorizao de criao dos tneis VPN) deve
recorrer igualmente a certificados X.509.

A validao de certificados deve ocorrer nos clientes VPN (road warriors) e no gateway
VPN de Lisboa. Para que um certificado seja considerado vlido, dever ter sido emitido
pela AC interna da organizao e no ter sido entretanto revogado.

Aps o estabelecimento do tnel VPN, os road warriors devero dispor de acesso total s
redes internas da organizao (Coimbra e Lisboa).


3.3. Autoridade de Certificao privada

Tal como referido anteriormente, todas as autenticaes referentes ao estabelecimento de
tneis VPN (com IPsec e com o OpenSwan) devem recorrer a certificados X.509. Neste
contexto, pretende-se ativar uma AC privada, tendo em conta os seguintes objetivos:

Segurana em Sistemas de Comunicao 2013/2014 Trabalho Prtico #2

Jorge Granjal jgranjal@dei.uc.pt 3
Utilizar o OpenSSL para ativar/criar a AC privada (representada na forma de uma
certificado e chave privada).

Utilizar a AC privada para criar e gerir certificados respeitantes aos gateways VPN do
cenrio e aos utilizadores da organizao.

Permitir a revogao (cancelamento) de certificados j emitidos, operao que dever ter
reflexo nas autenticaes que deles dependam.



Relatrio

O relatrio a entregar dever incluir a seguinte informao:

Alteraes efectuadas a ficheiros de configurao para ativar os servios VPN
anteriormente descritos.

Procedimentos para criao da AC privada e dos respetivos certificados X.509.

Descrio dos testes efectuados para comprovar o correto funcionamento dos
mecanismos de segurana implementados.

Restante informao que achar relevante.



Notas importantes:

No sero aceites relatrios sem PGP.

Cada dia de atraso na entrega da Meta 1 e/ou Relatrio final equivale a uma penalizao
de 20% na classificao final do trabalho.


METAS DE ENTREGA:

Meta 1: 14/11/2013
(Ficheiros de configurao base do OpenVPN e do OpenSwan, criao da AC privada
com o OpenSSL).

Entrega final: 21/11/2013.

Trabalho individual ou em grupos de 2 alunos


Segurana em Sistemas de Comunicao 2013/2014 Trabalho Prtico #2

Jorge Granjal jgranjal@dei.uc.pt 4


Documentao de apoio:

SSC, Texto de Apoio #5, IPSec: VPN e Road Warriors

Gesto de Sistemas e Redes em Linux, Jorge Granjal, FCA 2010/2013, Captulo 16:
Autoridades de Certificao

Gesto de Sistemas e Redes em Linux, Jorge Granjal, FCA 2010/2013, Captulo 21:
Acessos Seguros com VPN

OpenSWAN, http://www.openswan.org

OpenVPN, http://openvpn.net