Lio 1 - Introduo e Instalao

O que VPN?
A idia de utilizar uma rede pblica como a Internet em vez de linhas privativas
para implementar redes corporativas denominada de Virtual Private Network (VPN) ou
Rede Privada Virtual. As VPNs so tneis de criptografia entre pontos autorizados,
criados atravs da Internet ou outras redes pblicas e/ou privadas para transferncia de
informaes, de modo seguro, entre redes corporativas ou usurios remotos.
A segurana a primeira e mais importante funo da VPN. Uma vez que dados
privados sero transmitidos pela Internet, que um meio de transmisso inseguro, eles
devem ser protegidos de forma a no permitir que sejam modificados ou interceptados.
Outro servio oferecido pelas VPNs a conexo entre corporaes (Extranets)
atravs da Internet, alm de possibilitar conexes dial-up criptografadas que podem ser
muito teis para usurios mveis ou remotos, bem como filiais distantes de uma empresa.
Uma das grandes vantagens decorrentes do uso das VPNs a reduo de custos
com comunicaes corporativas, pois elimina a necessidade de links dedicados de longa
distncia que podem ser substitudos pela Internet. As LANs podem, atravs de links
dedicados ou discados, conectar-se a algum provedor de acesso local e interligar-se a
outras LANs, possibilitando o fluxo de dados atravs da Internet. Esta soluo pode ser
bastante interessante sob o ponto de vista econmico, sobretudo nos casos em que
enlaces internacionais ou nacionais de longa distncia esto envolvidos. Outro fator que
simplifica a operacionalizao da WAN que a conexo LAN-Internet-LAN fica
parcialmente a cargo dos provedores de acesso.
O openVPN roda em:
Linux, Windows 2000/XP e mais novos, OpenBSD, FreeBSD, NetBSD, Mac OS X e
Solaris. Uma verso para PocketPC do OpenVPN est sendo desenvolvida.
Aplicaes para redes privadas virtuais
Abaixo, so apresentadas as trs aplicaes ditas mais importantes para as VPNs:
- ACESSO REMOTO VIA INTERNET
O acesso remoto a redes corporativas atravs da Internet pode ser viabilizado com a VPN
atravs da ligao local a algum provedor de acesso (Internet Service Provider - ISP). A
estao remota disca para o provedor de acesso, conectando-se Internet e o software
de VPN cria uma rede virtual privada entre o usurio remoto e o servidor de VPN
corporativo atravs da Internet.
- CONEXO DE LANS VIA INTERNET
Uma soluo que substitui as conexes entre LANs atravs de circuitos dedicados de
longa distncia a utilizao de circuitos dedicados locais interligando-as Internet. O
software de VPN assegura esta interconexo formando a WAN corporativa.
A depender das aplicaes tambm, pode-se optar pela utilizao de circuitos discados
em uma das pontas, devendo a LAN corporativa estar, preferencialmente, conectada
Internet via circuito dedicado local ficando disponvel 24 horas por dia para eventuais
trfegos provenientes da VPN.
- CONEXO DE COMPUTADORES NUMA INTRANET

Em algumas organizaes, existem dados confidenciais cujo acesso restrito a um

pequeno grupo de usurios. Nestas situaes, redes locais departamentais so
implementadas fisicamente separadas da LAN corporativa. Esta soluo, apesar de
garantir a "confidencialidade" das informaes, cria dificuldades de acesso a dados da
rede corporativa por parte dos departamentos isolados.
As VPNs possibilitam a conexo fsica entre redes locais, restringindo acessos
indesejados atravs da insero de um servidor VPN entre elas. Observe que o servidor
VPN no ir atuar como um roteador entre a rede departamental e o resto da rede
corporativa uma vez que o roteador possibilitaria a conexo entre as duas redes
permitindo o acesso de qualquer usurio rede departamental sensitiva. Com o uso da
VPN o administrador da rede pode definir quais usurios estaro credenciados a
atravessar o servidor VPN e acessar os recursos da rede departamental restrita.
Adicionalmente, toda comunicao ao longo da VPN pode ser criptografada assegurando
a "confidencialidade" das informaes. Os demais usurios no credenciados siquer
enxergaro a rede departamental.

Caractersticas do OpenVPN
O OpenVPN um software livre, ou seja, voc pode olhar o cdigo dele, modificar
o cdigo para us-lo do jeito que voc deseja, voc pode distribuir e etc. Enfim, so
muitas as caractersticas que o OpenVPN tem, alm de ser software livre. Vejamos
algumas.
Com o OpenVPN, voc pode:
construir um tnel em qualquer subrede ou adaptador ethernet virtual em cima de
uma nica porta UDP ou TCP;
usar toda a encriptao, autenticao e caractersticas de certificao da biblioteca
OpenSSL para proteger o trfico da sua internet privada enquanto ele transita pela
internet;
usar qualquer cipher, chave, ou compilador HMAC suportado pela biblioteca
OpenSSL;
escolher entre chave-esttica baseada em encriptao convencional ou chavepblica baseada em certificao;
usar chaves estticas pr-compartilhadas ou baseadas em troca dinmica de
chaves TLS;
construir um tnel em rede na qual o ponto final seja dinmico como DHCP ou
clientes discados;
criar pontes de ethernet seguras usando virtual tap devices;
controlar o OpenVPN usando uma GUI no Windows ou Mac OS X.

Qual a diferena entre o OpenVPN e outros pacotes VPN?

A principal fora do OpenVPN inclui a portabilidade atravs das muitas plataformas
do conhecido universo computacional, excelente estabilidade, suporta centenas ou
milhares de clientes, instalao relativamente fcil e suporte a IP dinmico e NAT;
OpenVPN oferece uma interface de administrao que pode ser usada para
controlar remotamente ou administrar centralmente um processo OpenVPN. A

interface de administrao pode ser usada, tambm, para desenvolver uma GUI ou
uma aplicao na web para o OpenVPN;
No Windows, o OpenVPN pode ler certificados e chaves privadas de pequenos
cartes que suportem o Windows Crypto API;
OpenVPN tem sido construdo com um forte design modular. Toda a encriptao
provida pela biblioteca OpenSSL, e todas as funcionalidades de tunelamento de IP
so providas pelo driver de rede virtual TUN/TAP;
Enquanto o OpenVPN prov muitas opes para controlar parmetros de
segurana de um tnel VPN, ele tambm prov opes de proteo segurana
do prprio servidor, como --chroot para restringir uma parte do sistema de arquivo
que o daemon do OpenVPN tem acesso, --user e --group para minimizar privilgios
do daemon depois da inicializao, e --mlock para ter certeza que o material chave
e dados do tnel nunca so gravados no disco onde, depois, esses dados
poderiam ser recuperados.
Mais informaes podem ser obtidas em ingls na pgina oficial do OpenVPN.
http://openvpn.net
Download do OpenVPN

O download do OpenVPN pode ser feito pelo site

http://openvpn.net/download.html
Este o site oficial do OpenVPN e voc pode baixar a verso que quiser.

Instalao do OpenVPN no Debian

1. Abra o terminal;
2. Entre como root ou superusurio;
3. Digite #apt-get update;
4. Digite #apt-get install openvpn;
5. O apt vai baixar o pacote do openvpn e instal-lo em seguida.
A verso que usaremos neste curso a 2.0.6. Esse pacote est na verso testing do
debian.

Instalao via RPM

Primeiramente crie o arquivo RPM. Isso exige que as bibliotecas OpenSSL,
pthread, e LZO estejam presentes. Normalmente apenas a biblioteca LZO no est
presente nas distruibuies de linux atuais.
rpmbuild

-tb

openvpn-2.0.6.tar.gz

O processo de criao do arquivo RPM, ir gerar muitas linhas de sada. Se o

processo for bem sucedido, dever existir uma linha prxima ao final da sada, iniciando
com o nome do arquivo RPM criado. Agora voc pode instalar o arquivo RPM binario com
o comando:
rpm -Uvh binary-RPM-file

Instalao do tarball
Descompacte a distribuio:
tar -zxvf openvpn-2.0.6.tar.gz
Compile o OpenVPN:
cd openvpn-2.0.6
./configure
make
make install
Se voc no deseja as funcionalidades da biblioteca LZO, adicione o parmetro
--disable-lzo ao comando ./configure. Outras opes podem ser ativadas, como o
suporte a pthread (./configure --enable-pthread) para diminuir a latncia usando trocas de
chaves SSL/TLS dinmicas. O comando ./configure --help ir exibir todas as opes de
configurao.