Biztonság Road Warrior-oknak
A Unix/Linux szerverek üzemeltetése wikiből
(Változatok közti eltérés)
(konfigurációs fájl minták hozzáadása) |
(openvpn szerver konfiguráció kommentezése) |
||
| 3. sor: | 3. sor: | ||
Ez az oldal arról szól, hogy mit tehetünk biztonságunk növelése érdekében, ha noteszgépünkkel utazunk a nagyvilágban. |
Ez az oldal arról szól, hogy mit tehetünk biztonságunk növelése érdekében, ha noteszgépünkkel utazunk a nagyvilágban. |
||
| − | = Probléma = |
+ | == Probléma == |
Az ember hajlamos nem kellőképpen mérlegelni asztali és hordozható számítógépei közti, azok alapvető mivoltából következő különbségeket. Ezek a különbségek konkrétan: |
Az ember hajlamos nem kellőképpen mérlegelni asztali és hordozható számítógépei közti, azok alapvető mivoltából következő különbségeket. Ezek a különbségek konkrétan: |
||
* hordozható géppel utazva internetezéskor esetleg megkérdőjelezhető megbízhatóságú vezeték nélküli hálózatokat veszünk igénybe, adatainkat lehallgathatják; |
* hordozható géppel utazva internetezéskor esetleg megkérdőjelezhető megbízhatóságú vezeték nélküli hálózatokat veszünk igénybe, adatainkat lehallgathatják; |
||
| 10. sor: | 10. sor: | ||
A felhasználók többsége ezen aspektusokba nem is gondol bele, vagy pedig lustaságból nem foglalkozik a kérdéssel, azonban egy a listában szereplő esemény bekövetkezése után gyakran már késő bármit is tenni. Tehát a hangsúlyt a megelőzésre kell fordítani. |
A felhasználók többsége ezen aspektusokba nem is gondol bele, vagy pedig lustaságból nem foglalkozik a kérdéssel, azonban egy a listában szereplő esemény bekövetkezése után gyakran már késő bármit is tenni. Tehát a hangsúlyt a megelőzésre kell fordítani. |
||
| − | = Megoldás = |
+ | == Megoldás == |
A felsorolt problémák megelőzésére léteznek ésszerű intézkedések. A következő alpontok ezeket ismertetik. |
A felsorolt problémák megelőzésére léteznek ésszerű intézkedések. A következő alpontok ezeket ismertetik. |
||
| − | == A hálózati kapcsolat titkosítása == |
+ | === A hálózati kapcsolat titkosítása === |
Ha nyílt vagy gyenge titkosítású kapcsolaton csatlakozunk. |
Ha nyílt vagy gyenge titkosítású kapcsolaton csatlakozunk. |
||
Javaslat: OpenVPN. |
Javaslat: OpenVPN. |
||
| − | === A javasolt elrendezés === |
+ | ==== A javasolt elrendezés ==== |
Egy ábra magyarázattal a szerver gép szükségességéről. |
Egy ábra magyarázattal a szerver gép szükségességéről. |
||
| − | === OpenVPN-szerver beállítása === |
+ | ==== OpenVPN-szerver beállítása ==== |
Kulcsgenerálás, konfigurációs fájl írása, stb. |
Kulcsgenerálás, konfigurációs fájl írása, stb. |
||
| + | # Szerverként konfiguráljuk ezt az OpenVPN példányt. |
||
| + | mode server |
||
| + | |||
| + | # A szerver az itt megadott ip címen fogja várni a kliensek csatlakozását. |
||
local <server_ip> |
local <server_ip> |
||
| + | |||
| + | # A szerver a következő udp vagy tcp porton fog figyelni. |
||
port 1194 |
port 1194 |
||
| − | mode server |
+ | |
| + | # Kiválaszthatjuk, hogy udp vagy tcp végezze a szállítási réteg feladatát. |
||
proto udp |
proto udp |
||
| + | |||
| + | # Az alagutazást adatkapcsolati (tap) vagy hálózati (tun) rétegbe konfigurálhatjuk. |
||
dev tap |
dev tap |
||
| + | |||
| + | # A kiadott tanúsítványok aláíró szervezet tanúsítványa. |
||
ca ca.crt |
ca ca.crt |
||
| + | |||
| + | # A szerver tanúsítványa. |
||
cert server.crt |
cert server.crt |
||
| + | |||
| + | # A szerver privát kulcsa. |
||
key server.key |
key server.key |
||
| + | |||
| + | # Előre konfigurált Diffie-Hellman paramétereket tartalmazó fájl. |
||
dh dh1024.pem |
dh dh1024.pem |
||
| + | |||
| + | # Virtuális helyi hálózatunk ip tartománya. |
||
server 10.8.0.0 255.255.255.0 |
server 10.8.0.0 255.255.255.0 |
||
| + | |||
| + | # A kiosztott ip címek perzisztens tárolására szolgáló fájl. |
||
ifconfig-pool-persist ipp.txt |
ifconfig-pool-persist ipp.txt |
||
| + | |||
| + | # A kliens default route-ja lesz az OpenVPN kapcsolat. |
||
push "redirect-gateway def1 bypass-dhcp" |
push "redirect-gateway def1 bypass-dhcp" |
||
| + | |||
| + | # DNS szervereket állítunk be a kliensek számára. |
||
push "dhcp-option DNS <dns_ip1>" |
push "dhcp-option DNS <dns_ip1>" |
||
push "dhcp-option DNS <dns_ip2>" |
push "dhcp-option DNS <dns_ip2>" |
||
| + | |||
| + | # Engedélyezhetjük, hogy a kliensek egymást is elérhessék - természetesen a szerveren keresztül. |
||
| + | # (Alapértelmezetten ez nincs így.) |
||
;client-to-client |
;client-to-client |
||
| + | |||
| + | # Kapcsolatfenntartó, ping jellegű üzenetek küldözgetése 10 másodpercenként, |
||
| + | # bontás érzékelése két perc szünet elteltével. |
||
keepalive 10 120 |
keepalive 10 120 |
||
| + | |||
| + | # TLS autentikációs kulcs (0: szerver, 1: kliens) |
||
tls-auth ta.key 0 |
tls-auth ta.key 0 |
||
| + | |||
| + | # LZO tömörítés engedélyezése. |
||
comp-lzo |
comp-lzo |
||
| + | |||
| + | # A szerver processz felhasználója és csoportja. |
||
user nobody |
user nobody |
||
group nogroup |
group nogroup |
||
| + | |||
| + | # A privilégiumok eldobása után esetlegesen elérhetetlenné váló erőforrások elérésének tiltása. |
||
persist-key |
persist-key |
||
persist-tun |
persist-tun |
||
| + | |||
| + | # Naplózás engedélyezése és bőbeszédűségének beállítása. |
||
status openvpn-status.log |
status openvpn-status.log |
||
verb 3 |
verb 3 |
||
| − | === OpenVPN-kliens beállítása === |
+ | ==== OpenVPN-kliens beállítása ==== |
Kulcs átvitele, konfigurációs fájl írása VAGY NetworkManager. |
Kulcs átvitele, konfigurációs fájl írása VAGY NetworkManager. |
||
| − | === Tűzfal beállítások === |
+ | ==== Tűzfal beállítások ==== |
Mit kell átengedni, hogy azért még működjön is a dolog. |
Mit kell átengedni, hogy azért még működjön is a dolog. |
||
| − | === IPv6 over OpenVPN === |
+ | ==== IPv6 over OpenVPN ==== |
Kényelmi szolgáltatás vagy a jövő előfutára? |
Kényelmi szolgáltatás vagy a jövő előfutára? |
||
| 71. sor: | 111. sor: | ||
| − | == A háttértár tartalmának titkosítása == |
+ | === A háttértár tartalmának titkosítása === |
Ha a gépet megkaparintja valaki. Itt lenne egy link a meglévő [[Fájlrendszer-titkosítás,_LUKS|fájlrendszer titkosítós]] szócikkre. |
Ha a gépet megkaparintja valaki. Itt lenne egy link a meglévő [[Fájlrendszer-titkosítás,_LUKS|fájlrendszer titkosítós]] szócikkre. |
||
Egy mondat a swap titkosításáról, illetve ennek furmányosságáról, ha hibernálni is szeretnénk tudni. |
Egy mondat a swap titkosításáról, illetve ennek furmányosságáról, ha hibernálni is szeretnénk tudni. |
||
| − | == Titkosítás alkalmazásszinten == |
+ | === Titkosítás alkalmazásszinten === |
Csak felhívnám a figyelmet a HTTPS és a PGP használatára. Ha a VPN épp nem aktív és/vagy megfigyelik a VPN szerver forgalmát, akkor ez még megvédhet. |
Csak felhívnám a figyelmet a HTTPS és a PGP használatára. Ha a VPN épp nem aktív és/vagy megfigyelik a VPN szerver forgalmát, akkor ez még megvédhet. |
||
| − | = Hiányosságok = |
+ | == Hiányosságok == |
* titkosítatlan adatforgalom tiltása - mi legyen amíg a VPN inaktív? |
* titkosítatlan adatforgalom tiltása - mi legyen amíg a VPN inaktív? |
||
| − | = Tapasztalatok = |
+ | == Tapasztalatok == |
Pár szóban a gyakorlati használatról. |
Pár szóban a gyakorlati használatról. |
||
| + | |||
| + | == Külső hivatkozások == |
||
| + | *[https://help.ubuntu.com/community/OpenVPN Ubuntu féle OpenVPN dokumentáció] |
||
A lap 2010. december 3., 02:07-kori változata
Írta: Áshin László, 2010.11.10.
Ez az oldal arról szól, hogy mit tehetünk biztonságunk növelése érdekében, ha noteszgépünkkel utazunk a nagyvilágban.
Tartalomjegyzék |
1 Probléma
Az ember hajlamos nem kellőképpen mérlegelni asztali és hordozható számítógépei közti, azok alapvető mivoltából következő különbségeket. Ezek a különbségek konkrétan:
- hordozható géppel utazva internetezéskor esetleg megkérdőjelezhető megbízhatóságú vezeték nélküli hálózatokat veszünk igénybe, adatainkat lehallgathatják;
- a hordozható gép könnyebben elveszíthető, ellopásának veszélye jelentősebb;
- a hordozható gép fokozott mértékben van kitéve fizikai sérülésnek.
A felhasználók többsége ezen aspektusokba nem is gondol bele, vagy pedig lustaságból nem foglalkozik a kérdéssel, azonban egy a listában szereplő esemény bekövetkezése után gyakran már késő bármit is tenni. Tehát a hangsúlyt a megelőzésre kell fordítani.
2 Megoldás
A felsorolt problémák megelőzésére léteznek ésszerű intézkedések. A következő alpontok ezeket ismertetik.
2.1 A hálózati kapcsolat titkosítása
Ha nyílt vagy gyenge titkosítású kapcsolaton csatlakozunk. Javaslat: OpenVPN.
2.1.1 A javasolt elrendezés
Egy ábra magyarázattal a szerver gép szükségességéről.
2.1.2 OpenVPN-szerver beállítása
Kulcsgenerálás, konfigurációs fájl írása, stb.
# Szerverként konfiguráljuk ezt az OpenVPN példányt. mode server # A szerver az itt megadott ip címen fogja várni a kliensek csatlakozását. local <server_ip> # A szerver a következő udp vagy tcp porton fog figyelni. port 1194 # Kiválaszthatjuk, hogy udp vagy tcp végezze a szállítási réteg feladatát. proto udp # Az alagutazást adatkapcsolati (tap) vagy hálózati (tun) rétegbe konfigurálhatjuk. dev tap # A kiadott tanúsítványok aláíró szervezet tanúsítványa. ca ca.crt # A szerver tanúsítványa. cert server.crt # A szerver privát kulcsa. key server.key # Előre konfigurált Diffie-Hellman paramétereket tartalmazó fájl. dh dh1024.pem # Virtuális helyi hálózatunk ip tartománya. server 10.8.0.0 255.255.255.0 # A kiosztott ip címek perzisztens tárolására szolgáló fájl. ifconfig-pool-persist ipp.txt # A kliens default route-ja lesz az OpenVPN kapcsolat. push "redirect-gateway def1 bypass-dhcp" # DNS szervereket állítunk be a kliensek számára. push "dhcp-option DNS <dns_ip1>" push "dhcp-option DNS <dns_ip2>" # Engedélyezhetjük, hogy a kliensek egymást is elérhessék - természetesen a szerveren keresztül. # (Alapértelmezetten ez nincs így.) ;client-to-client # Kapcsolatfenntartó, ping jellegű üzenetek küldözgetése 10 másodpercenként, # bontás érzékelése két perc szünet elteltével. keepalive 10 120 # TLS autentikációs kulcs (0: szerver, 1: kliens) tls-auth ta.key 0 # LZO tömörítés engedélyezése. comp-lzo # A szerver processz felhasználója és csoportja. user nobody group nogroup # A privilégiumok eldobása után esetlegesen elérhetetlenné váló erőforrások elérésének tiltása. persist-key persist-tun # Naplózás engedélyezése és bőbeszédűségének beállítása. status openvpn-status.log verb 3
2.1.3 OpenVPN-kliens beállítása
Kulcs átvitele, konfigurációs fájl írása VAGY NetworkManager.
2.1.4 Tűzfal beállítások
Mit kell átengedni, hogy azért még működjön is a dolog.
2.1.5 IPv6 over OpenVPN
Kényelmi szolgáltatás vagy a jövő előfutára?
interface tap0
{
AdvSendAdvert on;
IgnoreIfMissing on;
MaxRtrAdvInterval 60;
prefix <ipv6_addr>/<prefix_length>
{
AdvOnLink on;
AdvAutonomous on;
};
};
2.2 A háttértár tartalmának titkosítása
Ha a gépet megkaparintja valaki. Itt lenne egy link a meglévő fájlrendszer titkosítós szócikkre. Egy mondat a swap titkosításáról, illetve ennek furmányosságáról, ha hibernálni is szeretnénk tudni.
2.3 Titkosítás alkalmazásszinten
Csak felhívnám a figyelmet a HTTPS és a PGP használatára. Ha a VPN épp nem aktív és/vagy megfigyelik a VPN szerver forgalmát, akkor ez még megvédhet.
3 Hiányosságok
- titkosítatlan adatforgalom tiltása - mi legyen amíg a VPN inaktív?
4 Tapasztalatok
Pár szóban a gyakorlati használatról.
