10.3. شبکه خصوصی مجازی

یک Virtual Private Network یا به اختصار VPN روشی برای پیوند زدن دو شبکه محلی از طریق ایجاد تونل در اینترنت است؛ تونل معمولا برای محرمانگی اطلاعات رمزنگاری می‌شود. از VPN معمولا برای برقراری ارتباط با یک رایانه در شبکه داخلی یک شرکت استفاده می‌شود.

Several tools provide this functionality. OpenVPN is an efficient solution, easy to deploy and maintain, based on SSL/TLS. Another possibility is using IPsec to encrypt IP traffic between two machines; this encryption is transparent, which means that applications running on these hosts need not be modified to take the VPN into account. SSH can also be used to provide a VPN, in addition to its more conventional features. Finally, a VPN can be established using Microsoft's PPTP protocol. Other solutions exist, but are beyond the focus of this book.

10.3.1. OpenVPN

OpenVPN نرم‌افزاری است که برای ایجاد شبکه‌های خصوصی مجازی استفاده می‌شود. راه‌اندازی آن شامل ایجاد رابط‌های شبکه خصوصی روی سرور VPN و کلاینت‌های آن است؛ هر دو رابط tun (برای تونل‌های سطح IP) و tap (برای تونل‌های سطح Ethernet) پشتیبانی می‌شوند. در عمل، رابط‌های tun اغلب مورد استفاده قرار می‌گیرند زمانی که کلاینت‌های VPN قرار باشد درون شبکه محلی سرور با استفاده از پل Ethernet تنظیم گردند.

OpenVPN برای عملیات رمزنگاری SSL/TLS و سایر قابلیت‌ها (محرمانگی، احرازهویت، جامعیت، انکارناپذیری) به OpenSSL وابسته است. امکان پیکربندی آن با استفاده از یک کلید خصوصی اشتراکی یا گواهینامه‌های X.509 مبتنی بر زیرساخت کلید عمومی وجود دارد. شیوه دوم پیکربندی به شدت ارجحیت دارد، چرا که در زمان درخواست سایر کاربران برای دسترسی به VPN، انعطاف‌پذیری بیشتری دارد.

10.3.1.1. پیکربندی سرور OpenVPN

After all certificates have been created (follow the instructions from قسمت 10.2.2, “زیرساخت کلید عمومی: easy-rsa” ), they need to be copied where appropriate: the root certificate's public key (pki/ca.crt) will be stored on all machines (both server and clients) as /etc/ssl/certs/Falcot_CA.crt. The server's certificate is installed only on the server (pki/issued/vpn.falcot.com.crt goes to /etc/ssl/certs/vpn.falcot.com.crt, and pki/private/vpn.falcot.com.key goes to /etc/ssl/private/vpn.falcot.com.key with restricted permissions so that only the administrator can read it), with the corresponding Diffie-Hellman parameters (pki/dh.pem) installed to /etc/openvpn/dh.pem. Client certificates are installed on the corresponding VPN client in a similar fashion.

By default, the OpenVPN initialization script tries starting all virtual private networks defined in /etc/openvpn/*.conf. Setting up a VPN server is therefore a matter of storing a corresponding configuration file in this directory. A good starting point is /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz, which leads to a rather standard server. Of course, some parameters need to be adapted: ca, cert, key and dh need to describe the selected locations (respectively, /etc/ssl/certs/Falcot_CA.crt, /etc/ssl/vpn.falcot.com.crt, /etc/ssl/private/vpn.falcot.com.key and /etc/openvpn/dh.pem). The server 10.8.0.0 255.255.255.0 directive defines the subnet to be used by the VPN; the server uses the first IP address in that range (10.8.0.1) and the rest of the addresses are allocated to clients.

With this configuration, starting OpenVPN creates the virtual network interface, usually under the tun0 name. However, firewalls are often configured at the same time as the real network interfaces, which happens before OpenVPN starts. Good practice therefore recommends creating a persistent virtual network interface, and configuring OpenVPN to use this pre-existing interface. This further allows choosing the name for this interface. To this end, openvpn --mktun --dev vpn --dev-type tun creates a virtual network interface named vpn with type tun; this command can easily be integrated in the firewall configuration script, or in an up directive of the /etc/network/interfaces file, or a udev rule can be added to that end. The OpenVPN configuration file must also be updated accordingly, with the dev vpn and dev-type tun directives.

بدون اقدام دیگری، کلاینت‌های VPN تنها از طریق نشانی 10.8.0.1 می‌توانند به سرور متصل گردند. برای صادر کردن مجوز دسترسی کلاینت‌ها به شبکه محلی (192.168.0.0/24)، نیاز است که عبارت push route 192.168.0.0 255.255.255.0 به فایل پیکربندی OpenVPN اضافه گردد تا کلاینت‌ها به صورت خودکار به شبکه VPN موجود متصل گردند. علاوه بر این، رایانه‌های شبکه محلی نیاز دارند در رابطه با مسیریابی از طریق سرور VPN به آن‌ها اطلاع‌رسانی گردد (زمانی که سرور VPN به gateway متصل باشد این اتفاق می‌افتد). همین طور، سرور VPN می‌تواند به منظور ماسک‌گذاری IP پیکربندی گردد ( قسمت 10.1, “Gateway” را مشاهده کنید).

10.3.1.2. پیکربندی کلاینت OpenVPN

تنظیم یک کلاینت OpenVPN نیز نیازمند ایجاد یک فایل پیکربندی در /etc/openvpn/ است. یک پیکربندی ساده می‌تواند مانند /usr/share/doc/openvpn/examples/sample-config-files/client.conf باشد. عبارت remote vpn.falcot.com 1194 نشانی و درگاه سرور OpenVPN را مشخص می‌کند؛ ca، cert و key برای مشخص‌کردن محل فایل‌های کلید باید تعریف شوند.

If the VPN should not be started automatically on boot, set the AUTOSTART directive to none in the /etc/default/openvpn file. Starting or stopping a given VPN connection is always possible with the commands systemctl start openvpn@name and systemctl stop openvpn@name (where the connection name matches the one defined in /etc/openvpn/name.conf).

The network-manager-openvpn-gnome package contains an extension to Network Manager (see قسمت 8.2.5, “پیکربندی خودکار شبکه برای کاربران” ) that allows managing OpenVPN virtual private networks. This allows every user to configure OpenVPN connections graphically and to control them from the network management icon.

10.3.2. VPN به همراه SSH

There are actually two ways of creating a virtual private network with SSH. The historic one involves establishing a PPP layer over the SSH link. This method is described in a HOWTO document:

→ https://www.tldp.org/HOWTO/ppp-ssh/

روش دوم جدیدتر است و با انتشار نسخه ۴.۳ از OpenSSH معرفی شد؛ اکنون برای OpenSSH امکان ایجاد رابط‌های مجازی شبکه (tun*) در هر دو سمت ارتباط SSH وجود دارد و این رابط‌های مجازی می‌توانند همانند رابط‌های فیزیکی پیکربندی گردند. سیستم تونل‌‌کشی ابتدا باید با تنظیم PermitTunnel به “yes” در فایل پیکربندی سرور SSH (/etc/ssh/sshd_config) فعال گردد. هنگام برقراری ارتباط SSH، ایجاد یک تونل باید به صورت اختصاصی و با گزینه -w any:any بیان شود (any می‌تواند با شماره دستگاه tun مورد نظر جایگزین گردد). این امر نیازمند داشتن دسترسی مدیریتی برای کاربر در هر دو سمت است، همان‌طور که برای ایجاد دستگاه شبکه مورد نیاز است (به عبارت دیگر، ارتباط باید از طریق root برقرار شود).

هر دو روش ایجاد یک شبکه خصوصی مجازی از طریق SSH بسیار سرراست هستند. اگرچه، VPN که فراهم می‌کنند عملکرد بهینه‌ای نخواهد داشت؛ به طور مشخص، به خوبی نمی‌تواند ترافیک بالا را مدیریت کند.

The explanation is that when a TCP/IP stack is encapsulated within a TCP/IP connection (for SSH), the TCP protocol is used twice, once for the SSH connection and once within the tunnel. This leads to problems, especially due to the way TCP adapts to network conditions by altering timeout delays. The following site describes the problem in more detail:

→ http://sites.inka.de/sites/bigred/devel/tcp-tcp.html

VPNs over SSH should therefore be restricted to one-off tunnels with no performance constraints.

10.3.3. IPsec

IPsec, despite being the standard in IP VPNs, is rather more involved in its implementation. The IPsec engine itself is integrated in the Linux kernel; the required user-space parts, the control and configuration tools, are provided by the libreswan package or the strongswan package. Here we describe briefly the first of these options.

First, we install the libreswan package. In concrete terms, each host's /etc/ipsec.conf contains the parameters for IPsec tunnels (or Security Associations, in the IPsec terminology) that the host is concerned with. There are many configuration examples in /usr/share/doc/libreswan/, but Libreswan's online documentation has more examples with explanations:

→ https://libreswan.org/wiki/

The IPsec service can be controlled with systemctl; for example, systemctl start ipsec will start the IPsec service.

علی رغم وضعیت IPsec به عنوان یک راه حل جامع، پیچیدگی تنظیم آن در واقع منجر به کاهش استفاده‌اش می‌گردد. راه‌حل‌های مبتنی بر OpenVPN زمانی که تعداد تونل‌ها زیاد یا پویا نباشند ترجیخ داده می‌شوند.

احتیاط IPsec و NAT

NATکردن فایروال و IPsec به خوبی با یکدیگر کار نمی‌کنند: از آنجا که IPsec بسته‌ها را امضا کرده، هر تغییری احتمالی روی این بسته‌ها توسط فایروال منجر به باطل‌شدن امضا می‌گردد و بسته‌ها در مقصد تحویل داده نمی‌شوند. بسیاری از پیاده‌سازی‌های IPsec اکنون با شامل شدن تکنیک NAT-T (به معنی NAT Traversal) با قراردادن بسته IPsec در یک بسته استاندارد UDP به این مشکل رسیدگی می‌کنند.

امنیت IPsec و فایروال‌ها

حالت استاندارد عملیات IPsec شامل تبادل داده روی درگاه ۵۰۰ UDP برای تبادل کلید (یا درگاه ۴۵۰۰ UDP در صورت استفاده از NAT-T) است. علاوه بر این، بسته‌های IPsec از دو پروتکل اختصاصی IP استفاده می‌کنند که فایروال باید اجازه عبور آن‌ها را صادر کند؛ دریافت این بسته‌ها بر اساس شماره پروتکل آن‌ها است یعنی ۵۰ برای ESP و ۵۱ برای AH.

10.3.4. PPTP

PPTP که مخفف Point-to-Point Tunneling Protocol است از دو کانال ارتباطی استفاده می‌کند، یکی برای کنترل داده و دیگری برای تبادل آن؛ کانال دوم از پروتکل GRE یا Generic Routing Encapsulation استفاده می‌کند. سپس یک پیوند استاندارد PPP از طریق کانال اول صورت می‌گیرد.

10.3.4.1. پیکربندی کلاینت

بسته pptp-linux شامل یک کلاینت PPTP است که به راحتی برای کلاینت تنظیم می‌گردد. دستورالعمل پیش رو بر اساس مستندات رسمی آن الهام گرفته شده است:

→ http://pptpclient.sourceforge.net/howto-debian.phtml

مدیرسیستم‌های فالکوت فایل‌های متعددی ایجاد کرده‌اند: /etc/ppp/options.pptp، /etc/ppp/peers/falcot، /etc/ppp/ip-up.d/falcot و /etc/ppp/ip-down.d/falcot.

مثال 10.2. فایل /etc/ppp/options.pptp

# PPP options used for a PPTP connection
lock
noauth
nobsdcomp
nodeflate

مثال 10.3. فایل /etc/ppp/peers/falcot

# vpn.falcot.com is the PPTP server
pty "pptp vpn.falcot.com --nolaunchpppd"
# the connection will identify as the "vpn" user
user vpn
remotename pptp
# encryption is needed
require-mppe-128
file /etc/ppp/options.pptp
ipparam falcot

مثال 10.4. فایل /etc/ppp/ip-up.d/falcot

# Create the route to the Falcot network
if [ "$6" = "falcot" ]; then
  # 192.168.0.0/24 is the (remote) Falcot network
  ip route add 192.168.0.0/24 dev $1
fi

مثال 10.5. فایل /etc/ppp/ip-down.d/falcot

# Delete the route to the Falcot network
if [ "$6" = "falcot" ]; then
  # 192.168.0.0/24 is the (remote) Falcot network
  ip route del 192.168.0.0/24 dev $1
fi

10.3.4.2. پیکربندی سرور

pptpd سرور PPTP برای لینوکس است. فایل اصلی پیکربندی آن، /etc/pptpd.conf، نیاز به تغییرات اندکی دارد: localip (نشانی محلی) و remoteip (نشانی راه‌دور). در نمونه زیر، سرور PPTP همیشه از نشانی 192.168.0.199 استفاده می‌کند و کلاینت‌ها نیز نشانی خود را بین بازه 192.168.0.200 تا 192.168.0.250 دریافت می‌کنند.

مثال 10.6. فایل /etc/pptpd.conf

[..]
# TAG: localip
# TAG: remoteip
#       Specifies the local and remote IP address ranges.
#
#       These options are ignored if delegate option is set.
#
#       Any addresses work as long as the local machine takes care of the
#       routing.  But if you want to use MS-Windows networking, you should
#       use IP addresses out of the LAN address space and use the proxyarp
#       option in the pppd options file, or run bcrelay.
#
#       You can specify single IP addresses seperated by commas or you can
#       specify ranges, or both. For example:
#
#               192.168.0.234,192.168.0.245-249,192.168.0.254
#
#       IMPORTANT RESTRICTIONS:
#
#       1. No spaces are permitted between commas or within addresses.
#
#       2. If you give more IP addresses than the value of connections,
#          it will start at the beginning of the list and go until it
#          gets connections IPs.  Others will be ignored.
#
#       3. No shortcuts in ranges! ie. 234-8 does not mean 234 to 238,
#          you must type 234-238 if you mean this.
#
#       4. If you give a single localIP, that's ok - all local IPs will
#          be set to the given one. You MUST still give at least one remote
#          IP for each simultaneous client.
#
# (Recommended)
#localip 192.168.0.1
#remoteip 192.168.0.234-238,192.168.0.245
# or
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245
localip 192.168.0.199
remoteip 192.168.0.200-250

پیکربندی PPP مورد استفاده سرور PPTP نیازمند برخی تغییرات در /etc/ppp/pptpd-options است. پارامترهای مهم عبارتند از نام سرور (pptp)، نام دامنه (بشمزخف.زخپ) و نشانی‌های IP برای سرورهای DNS و WINS.

مثال 10.7. فایل /etc/ppp/pptpd-options

# Enable connection debugging facilities.
# (see your syslog configuration for where pppd sends to)
#debug

# Name of the local system for authentication purposes
# (must match the second field in /etc/ppp/chap-secrets entries)
name pptpd

# Optional: domain name to use for authentication
## change the domainname to your local domain
domain falcot.com

# Authentication
## these are reasonable defaults for WinXXXX clients
## for the security related settings
auth
refuse-pap
refuse-chap
refuse-mschap
# Require the peer to authenticate itself using MS-CHAPv2 [Microsoft
# Challenge Handshake Authentication Protocol, Version 2] authentication.
require-mschap-v2
# Require MPPE 128-bit encryption
# (note that MPPE requires the use of MSCHAP-V2 during authentication)
require-mppe-128

# Network and Routing
## Fill in your addresses
ms-dns 192.168.0.1
ms-wins 192.168.0.1

## Fill in your netmask
netmask 255.255.255.0

## some defaults
nodefaultroute
proxyarp
lock

آخرین گام ثبت کاربر vpn و گذرواژه مربوط به آن در فایل /etc/ppp/chap-secrets است. بر خلاف مواقعی که کاراکتر ستاره (*) کار می‌کرد، نام سرور مشخصا باید در این قسمت درج شود. علاوه بر این، کلاینت‌های PPTP در ویندوز خود را به صورت DOMAIN\\USER معرفی می‌کنند به جای اینکه تنها نام کاربری را نشان دهند. به همین دلیل است که فایل به کاربر FALCOT\\vpn اشاره کرده است. همچنین امکان اختصاص نشانی‌های IP انفرادی برای هر کاربر وجود دارد؛ یک کاراکتر ستاره در این قسمت به معنای استفاده از نشانی‌های پویا است.

مثال 10.8. فایل /etc/ppp/chap-secrets

# Secrets for authentication using CHAP
# client        server  secret      IP addresses
vpn             pptp    f@Lc3au     *
FALCOT\\vpn     pptp    f@Lc3au     *

امنیت آسیب‌پذیری‌های PPTP

اولین پیاده‌سازی PPTP از مایکروسافت باعث انتقادات بسیاری شد چرا که آسیب‌پذیری‌های امنیتی زیادی را شامل می‌شد؛ اکثر آن‌ها با انتشارهای بعدی برطرف شدند. پیکربندی که در این قسمت توضیح داده شد از آخرین نسخه این پروتکل استفاده می‌کند. آگاه باشید که حذف کردن برخی گزینه‌ها (مانند require-mppe-128 و require-mschap-v2) به آسیب‌پذیری مجدد سروس منجر می‌شوند.