книги хакеры / журнал хакер / 110_Optimized

>> ХАКЕР

Sun Dec 2 15:31:37 2007 Initialization Sequence

Completed

Подключаемся к VPN-серверу

;Максимальное число одновременно подключенных VPN-пользователей

max-clients 10

;Задаем файл журналирования событий и уровень детализа ции журнала, отображаем не более 20 экземпляров одного сообщения (остальные отбрасываем)

log-append /var/log/openvpn.log verb 3

mute 20

;Пользователь и группа, с правами которых работает демон user _openvpn

group _openvpn

;Эти опции предотвращают доступ к некоторым ресурсам

(например, tun-устройству) при перезапуске демона (реко мендуется применять только при снижении привилегий) persist-key

persist-tun

; Сажаем демона в chroot-окружение chroot /var/empty

Чтобыневбиватьдирективывручную,можновоспользоватьсяпримером конфига,любезнопредоставленнымразработчиками:

# cp /usr/local/share/examples/openvpn/sample-config- files/server.conf /etc/openvpn

Поднимаемвиртуальныйинтерфейсtun0:

#echo "up" > /etc/hostname.tun0

#sh /etc/netstart tun0

ЗапускаемсерверOpenVPNкомандой:

# /usr/local/sbin/openvpn --config \ /etc/openvpn/server.conf

ДляавтоматическойзагрузкиOpenVPNдостаточнопрописатьэтустрочку встартовыйсценарий/etc/rc.local.Например,так:

#vi/etc/rc.local

if [ -x /usr/local/sbin/openvpn ]; then

echo -n ' openvpn'; /usr/local/sbin/openvpn \ --config /etc/openvpn/server.conf

fi

Далеесмотримвлоги,чтобыубедитьсявуспешнойзагрузкенашего демона:

# tail /var/log/openvpn.log

Sun Dec 2 15:31:37 2007 IFCONFIG POOL: base=192.168.3.4 size=62

Чтобыпроверитьсостояниепсевдоустройстватуннелирования,можно воспользоватьсяутилитойifconfig:

# ifconfig tun0

tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500

groups: tun

inet 192.168.3.1 --> 192.168.3.2 netmask 0xffffffff

ДлякорректнойработысервераOpenVPNнеобходиморазрешитьпрохождениелюбоготрафикачерезинтерфейсOpenVPN,атакжевходящие подключениянавнешнийадрессерверапорт1194/udp:

#vi/etc/pf.conf

pass quick on { lo tun0 $int_if } inet

pass in on $ext_if inet proto udp from any to $ext_if port 1194 keep state

Перезагружаемнаборрулесетовфайрвола:

# pfctl -f /etc/pf.conf

Инсталляция на стороне клиента

Итак, VPN-сервер работает и готов принимать подключения. Развертывание VPN-клиентов для VPN-подключений удаленного доступа состоит из двух действий: установка программы OpenVPN GUI (http://openvpn. se/files/install_packages/openvpn-2.0.9 gui-1.0.3 install.exe) и правка конфигурационного файла client*.ovpn.

C:\ProgramFiles\OpenVPN\config\mycompany_client1.ovpn

;Работаем в режиме клиента client

dev tun

;Указываем IP-адрес и порт VPN-сервера remote 213.167.XX.YY 1194

proto udp resolv-retry infinite nobind

pull comp-lzo persist-key persist-tun verb 3

;Я предпочитаю хранить crt- и key-файлы на флешке ca "f:\\vpn\\mycompany\\ca.crt"

cert "f:\\vpn\\mycompany\\client1.crt" key "f:\\vpn\\mycompany\\client1.key" tls-auth "f:\\mycompany\\ta.key" 1 ns-cert-type server

;Нижеследующие алгоритмы должны совпадать с теми, что заданы на сервере

auth SHA1

cipher AES-256 CBC

;Без этих двух директив Vista-клиенты не смогут получать маршруты от сервера

;route-method exe

;route-delay 2

ТеперьдляподключениякVPN-серверудостаточновтреещелкнуть правойкнопкоймышиназначкескраснымимониторчиками,выбрать конфигmycompany_client1инажатьConnect.

Аутентификационный шлюз на базе pf и authpf

ВBSD-системах,используясвязкупакетногофильтраpfиавторизацион- ногошеллаauthpf,можноконтролироватьдоступклиентов,подключаю- щихсякVPN-службеикорпоративнойсети.Схемаработытакойконструк- циидовольнопроста:пользовательлогинитсяпоssh,и,взависимостиот введенныхданных(имяипароль),насерверевступаютвсилуперсональныеправилафайрвола,вданномслучаеразрешающиепрохождение UDP-пакетовкпорту1194.

Нопреждечемпроизводитьнастройкуauthpf,необходимопереопределитьнекоторыедефолтныезначенияпеременныхдемонаsshd(8).Такмы усложнимпотенциальномузлоумышленникууспешноепроведениеатаки

сцельюперехватаиподменыssh-сессии.

#vi/etc/ssh/sshd_config

#Работаем с использованием протоколов IPv4 и ssh2 AddressFamily inet

Protocol 2

#Ожидаем подключения по всем доступным сетевым интерфейсам

ListenAddress 0.0.0.0

#Запрещаем регистрацию root'а и применение пустых паролей

PermitRootLogin no PermitEmptyPasswords no

#За счет использования протокола ssh2 и этих двух опций усложняем проведение атак типа ARP- и IP-spoofing ClientAliveInterval 15

ClientAliveCountMax 3

#Отключаем DNS-резолвинг

UseDNS no

# Определяем списки контроля доступом

AllowGroups wheel users authpf

Длятогочтобывнесенныеизменениявступиливсилу,необходимодать указаниедемонуперечитатьсвойконфиг:

# kill -HUP 'sed q /var/run/sshd.pid'

Authpf представляет собой псевдооболочку, которая назначается пользователю системы в качестве login shell (примечание:

запись «/usr/sbin/authpf» в файл /etc/shells добавлять не следу-

ет). При авторизации пользователя по ssh к текущим правилам фильтра пакетов с помощью так называемых «якорей» (anchors) будут присоединены правила, указанные в файле /etc/authpf/ authpf.rules или в /etc/authpf/users/$USER. В добавляемых пра-

вилах допускается использование зарезервированных макросов $user_id и $user_ip, за счет которых будет происходить автоматическая подстановка имени и IP-адреса подключившегося пользователя (значения макросов считываются из переменных окружения ssh автоматически).

Вконецфайлаlogin.conf(5)заносимсведенияоновомклассеauthpf,пользователикотороговкачествестандартногошеллабудутполучатьauthpf:

#vi/etc/login.conf authpf:\

:shell=/usr/sbin/authpf:\ :tc=default:

Спомощьюштатнойутилитыcap_mkdb(8)обновляемхэшированную базуданных/etc/login.conf.db:

#cap_mkdb /etc/login.conf

Мынебудемпереопределятьумолчальныезначениядирективanchorи table,поэтомуфайлauthpf.confоставляемпустым:

# echo -n > /etc/authpf/authpf.conf

Подготавливаемприветственноесообщениеauthpf.message(аналог

/etc/motd):

#vi/etc/authpf/authpf.message

This service is for authorised VPN-clients only. Please play nice.

Создаемновогопользователя,которыйпринадлежитклассуauthpf,входитвгруппуauthpfивкачествеоболочкиполучает/usr/sbin/authpf:

#useradd -m -c 'authpf vpn user' -g authpf -L authpf \ -s /usr/sbin/authpf client1

#passwd client1

Рисуемправилофайрвола,разрешающеепользователюclient1доступк серверуOpenVPN:

#mkdir -p /etc/authpf/users/client1

#vi/etc/authpf/users/client1/authpf.rules

pass in log quick on fxp0 inet proto udp from $user_ip to fxp0 port 1194 keep state

Теперьдляподключениямеханизмаякорейдобавимследующиезаписив pf.conf(5):

#vi/etc/pf.conf

nat-anchor "authpf/*" rdr-anchor "authpf/*" binat-anchor "authpf/*"

...

pass in log on $ext_if inet proto tcp to fxp0 port \ ssh keep state

...

anchor "authpf/*"

Иперезагрузимнаборрулесетовфайрвола:

#pfctl -f /etc/pf.conf

Насторонеклиентаоткрываемлюбойssh-клиент,напримерPuttyили SecureCRT.Создаемновуюсессию,указываемIP-адрессервераиимя пользователя.Есливсенастроеноправильно,послеуспешнойавторизацииправилафайрволанасервередляэтогопользователяизменятся,ион получитдоступкVPN-службе.

f:\vpn\putty> plink.exe -pw mypassword client1@213.167. XX.YY

Hello client1. You are authenticated from host "77.41. XX.YY"

This service is for authorised VPN-clients only. Please play nice.

Ачтобыпостоянноневводитьпароль,можнонастроитьаутентификацию набазепубличногоключа.

Эндшпиль

Этастатьявключаетполныйнаборпошаговыхдействий,необходимыхдля внедрениябазовогоVPN-решенияудаленногодоступаприиспользовании BSD-системывкачествеVPN-сервераиWinXP/VistaвкачествеVPN-клиента. Развернувв3-4компанияхподобнуюконфигурацию,тысможешьехатьв Египетгретьпяткинеспустымикредиткойикошельком.Удачи.z

Телефон:

(495) 780-8825

Все цены действительны на момент публикации рекламы

Nintendo Wii

9984 р.

НЕ СКУЧАЙ! ДОМА И В ДОРОГЕ

ИГРАЙ!

Покупку можно оплатить

электронными деньгами

Time Crisis 4 with Guncon 3

2990 р.

08)февраль02( x