книги хакеры / журнал хакер / 135_Optimized

Использованиевторогосерверапозволиттакжезарезервироватьи другиеполезныесервисы:DHCP,DNSипрочие.ДляPPPoEещеодним очевиднымпреимуществомявляетсявозможностьиспользованияпростыхсредстваутентификацииипроверкиполномочийнабазепротокола RADIUS.НедостаткиPPPoEвытекаютизегодостоинств.Таккаконра- ботаеттольковсетиEthernet,тоиспользованиетранзитныхIP-маршру- тизаторовнедопустимо.Вкрупных,разветвленныхсетяхпоисксервера обычнозатягивается,ашироковещательныепакетымогут«застревать»

âроутерах.ПоэтомуPPPoEэффективенприиспользованиивотносительнонебольшихилисреднихобособленныхсетях.Такжестоитотметить, чтостабильнаяработаPPPoEчерезWiFiнегарантируется:черезнекотороевремяможетвозникнуть«подвисание»соединения.Длярешения этойпроблемыпридетсяставитьдополнительныйроутернагранице WiFiиWiredLAN,которыйибудетподключатьсякPPPoEсерверу.

Еще одна проблема, которая иногда всплывает — это размер MTU. Дело

âтом, что максимальный размер Ethernet-пакета равен 1500 байт, а максимальный размер пакета, передаваемого через PPPoE, равен 1492 байта (заголовок PPPoE — 6 байт и PPP Protocol ID — 2 байта). Некоторые роутеры поддерживают технологию Path MTU Discovery, которая запрещает фрагментацию пакетов. При этом оптимальный размер пакета определяется автоматически на основе сообщений ICMP (тип 3, код 4: Fragmentaion Needed and DF set, см. www.oav.net/mirrors/ cidr.html). То есть, если на каком-то этапе ICMP пакеты блокируются, между хостами могут возникнуть проблемы с обменом данными. Проверить MTU очень просто. Например, введем:

> ping synack.ru -f -l 1492

Требуется фрагментация пакета, но установлен запрещающий флаг. Как видишь, пакет размером 1492 не прошел. По умолчанию в

Windows устанавливается MTU для протокола РРРоЕ равное 1480 байт, но некоторые программы или драйвера могут его изменить.

Чтобы установить свое значение, следует создать раздел (если его нет) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ Ndiswan\Parameters\Protocols\0, в котором прописать три REG_ DWORD параметра:

–ProtocolType — 0x00000800;

–PPPProtocolType — 0x00000021;

–ProtocolMTU — желаемое значение MTU в десятичном формате.

ÂLinux проще автоматически уменьшать размер передаваемого пакета средствами pppd или ifconfig. Для pppd добавляем такую настройку:

#nano /etc/ppp/pppoe.conf

CLAMPMSS=1412

Âправиле используется не MTU, а фактический блок данных MSS (Maximum Segment Size, максимальный размер сегмента), добавив к нему служебную инфу 40 байт (20 байт IP и 20 байт TCP), получим MTU.

При использовании ifconfig вот так указываем MTU интерфейса:

#ifconfig ppp0 mtu 1400

ПЛЮСЫИМИНУСЫPPTP Протокол PPTP (Point-to-point tunneling protocol) позволяет клиентскому компьютеру организовать подклю- чение к серверу через туннель в незащищенной сети. В PPTP кадры PPP инкапсулируются в IP-пакеты, что позволяет соединяться с

ПРИПЕРЕСБОРКЕЯДРАНЕЗАБУДЬАКТИВИРОВАТЬПАРАМЕТ-

РЫIPSEC

сервером, который находится в другой сети. При создании туннеля в РРТР используется дополнительное (управляющее) TCP-соеди- нение (порт 1723). После обмена служебными сообщениями создается соединение для пересылки данных (протокол Generic Routing Encapsulation, GRE).

Как и PPPoE, PPTP достаточно прост в настройке. Однако пользователь, помимо логина и пароля, должен знать еще IP-адрес сервера. Трудности в этом никакой — просто еще один шаг в настройках. Понятно, что сервер, к которому подключаются клиенты, не обязательно должен находиться в том же сегменте сети. Учитывая, что поддержка PPTP встроена

âWindows «из коробки» (Microsoft является одним из его разработчиков), этот протокол получил большую популярность. Нет проблем и при подключении из *nix систем, достаточно установить pptp-client (pptpclient. sf.net), который есть в репозитариях и портах

практически всех дистрибутивов. Из лицензионных соображений поддержка MPPE долгое время была доступна исключительно в виде патчей. Теперь MPPE встроен в ядра многих ОС. Например, поддержка шифрования MPPE появилась в ядре Linux версии 2.6.14, поэтому

âнастоящее время никаких дополнительных манипуляций производить не требуется. Для аутентификации используются следую-

щие методы: PAP, CHAP, SPAP, MSCHAP v1 и v2, EAP. Пользователь определяется по логину/ паролю, но слабая защищенность механизмов аутентификации делает PPTP сессии легкой добычей для злоумышленников. Протокол уязвим практически для всех видов атак: атаки на LM-хеши, алгоритмы RC4, CHAP, MSCHAP v1 и v2 и так далее. За примером далеко ходить не нужно — утилита asleap (willhackforsushi.com/ Asleap.html) призвана «восстанавливать» PPTP MSCHAP пароли. Как результат, от PPTP, как средства построения VPN (для чего он, собственно, и планировался), многие отказались в пользу более защищенных решений. Проблему пытались решить, для чего к PPTP прикрутили EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) аутентификацию. Хотя это и сделало процесс распознавания пользователя более безопасным, но не устранило все уязвимости, связанные с

УТИЛИТАKVPNC ОБЕСПЕЧИТПРОСТОЕ ПОДКЛЮЧЕНИЕКЛЮБОМУТИПУVPN

В*NIX

Построение VPN при динамическом IP

ЧастопомехойприсозданииVPNстановитсядинамическийIP,выдаваемыйпровайдером.ПроблемуможнорешитьприпомощиспециализированныхсервисовдинамическогоDNS.НатакихсервисахвремяустареванияTTLуказываетсядостаточномаленьким,поэтомудругиеDNS серверафактическиеегонекэшируют.ВместоIP-адресаVPN-серверав настройкахподключенияможноуказатьзакрепленноедоменноеимя. МногиехардварныероутерыимеютвстроеннуюподдержкуDynamic DNS.Сегоднядоступнонесколькотакихсерверов—dyndns.org,dyndns. dk,no-ip.com.ПолныйсписоксмотривDMOZ—dmoz.org/Computers/ Internet/Protocols/DNS/DNS_Providers/Dynamic_DNS

# vi /etc/ipfw.gre

#!/bin/sh

/sbin/ipfw -q /dev/stdin <<RULES flush

nat 10 config if fxp0

add 10 nat 10 gre from any to any

add 11 nat 10 tcp from any to any dst-port pptp add 12 nat 10 tcp from any pptp to any

add 11 nat 10 tcp from any to any dstport pptp

Не забываем сделать скрипт /etc/ipfw.gre исполняемым:

#chmod +x /etc/ipfw.gre

Âрулесетах PF запрещаем транслировать PPTP соединения и просто пропускаем их через фильтр:

#vi /etc/pf.conf

no nat on $external proto gre all

no nat on $external proto tcp from any \ to any port = pptp

no nat on $external proto tcp from any \ port = pptp to any

pass quick on $external inet proto tcp from any \ to any port 1723

pass quick on $external inet proto tcp from any \ port 1723 to any

pass quick on $external inet proto gre \ from any to any

Но это не единственный вариант. Для трансляции PPTP пакетов можно задействовать специальные прокси, например, Frickin PPTP Proxy (frickin.sf.net) èëè pptpproxy (mgix.com/pptpproxy). На момент написания этих строк в OpenBSD 4.6-current добавили демон npppd, призванный разруливать множественные PPP сессии и помочь пользователю в установлении соединений по L2TP, PPTP и PPPoE.

КАКОЙВАРИАНТВЫБРАТЬДЛЯSITE-TO-SITEVPN?Íàëè- чие удаленных офисов или складских помещений у компании сегодня не редкость. При такой «топологии» сотрудники в процессе работы должны обращаться ко внутренним ресурсам, размещенным на центральных серверах. Задача админа в этом случае заключается в том, чтобы максимально упростить процесс, не поставив под удар защищенность всей сети. Альтернативы VPN здесь нет, но выбор вариантов реализации достаточно широк: OpenVPN, L2TP/IPsec, PPTP,

VTun (vtun.sf.net), SSH VPN и некоторые другие. Напомним, что многие файерволы имеют все необходимое для организации такого канала: ISA Server («Надежный сторожевой сети», X_05_2007), Kerio WinRoute Firewall («Марш-бросок в большую сеть», X_09_2007), ITC Server (trafficcontrol.ru) и т.д. Если есть возможность выбора, одним из наиболее подходящих решений для организации site-to-site VPN является OpenVPN. Причин несколько. Реализация имеется для большинства популярных операционных систем: Linux, *BSD, Solaris, Mac OS X, Windows от 2000. Установка и настройка OpenVPN достаточно проста

èпод силу любому админу, представляющему процесс (подробнее о настройке OpenVPN читай в статьях «Доступ повышенной защищенности» и «Деликатное проникновение в частную сеть», опубликованных в X_04_2007 и X_02_2008 соответственно). Для аутентификации и шифрования используются все доступные в SSL алгоритмы, поэтому можно запросто выбрать нужный, в соответствии с требованиями, предъявляемыми к защищенности (также стоит учесть пропускную способность канала и стоимость трафика). Существенно, что поддерживается адаптивная компрессия потока, а работа через NAT происходит без проблем.

Ещеоднойальтернативойявляетсяиспользованиепротоко- лаIPsec,большойплюскоторого—встроеннаяподдержка всемиОС,какWindows(отXP/2k3SP2ивыше),таки*nix. Соответствующиенастройкидляподключенияимеютсяи вбольшинствехардварныхроутеров.ПервоначальныенастройкиIPsecв*nixможноназватьпростыми.Такядра*BSD

èLinuxужеподдерживаютIPsec.ЕслиядроLinuxсобиралось самостоятельно,тонужнопроследить,чтобыбыливключены пункты«IPsec:transportmode»,«IPsec:tunnelmode»,«IPsec: BEETmode»,«IP:AHtransformation»«IP:ESPtransformation»

è«IP:IPComptransformation»и«PF_KEYsockets»,находя- щиесяв«Networkingsupport—Networkingoptions».Опцио- нальновключаемподдержкупротоколаIPComp(IPPayload CompressionProtocol).Такжетребуетсяактивироватьвсе пунктывCryptographicAPI.Еслидляускоренияобработки криптографическихвычисленийбудетиспользоваться специальнаяплата(этопозволитснизитьтребованиякCPU), тонезабудьипропунктыв«HardwarecryptoDevices».Для работыIPsecиспользуетследующиепортыипротоколы:

• 500/UDP — ISAKMP (Internet Security Association Key Management Protocol);

• ESP (номер 50) — Encapsulated Security Payload, инкапсулированные защищенные данные — обеспечение целостности и конфиденциальности передаваемых данных;

info

•НастройкаPPTPVPN вWin2k8описана

встатье«Туннельный синдром»,опубликованнойвмартовском номере][за2009год.

•ОнастройкеPPPoE иPPTPподключений вLinuxчитайвстатье «ПрорывсквозьPPP» (X_05_2008).

•Отом,какорганизоватьтуннельпри помощиOpenSSH,

рассказывается виюльскомномере за2008год,встатье

«Волшебныекриптотуннели».

УТИЛИТАДИАГНОСТИКИIPSEC ОТ

MICROSOFT

• AH (номер 51) — Authentification Header, метки аутентификации — аутентификация отправителя информации и обеспечение целостности данных.

Для установления IPsec соединений в файерволе следует открыть порт 500 и разрешить прохождение данных по протоколам AH/ESP. Приведем пример для iptables:

#iptables -A INPUT -p udp --dport 500 -m state --state NEW -j ACCEPT

#iptables -A OUTPUT -p udp --dport 500 -m state --state NEW -j ACCEPT

#iptables -A INPUT -p esp -j ACCEPT

#iptables -A OUTPUT -p esp -j ACCEPT

#iptables -A INPUT -p ah -j ACCEPT

#iptables -A OUTPUT -p ah -j ACCEPT

СЕРВЕРАDYNDNS СНИМАЮТПРОБЛЕМУДИНАМИЧЕСКОГОIP

СКРИНШОТОТРЕДАКТОРА: OPENBSD/ISAKMPD ИSHREW SOFT VPN CLIENT ВДЕЙСТВИИ

Для управления туннелем понадобится набор утилит IPsec-tools (ipsec-tools.sf.net). Основной минус IPsec состоит в том, что маршрутизаторы не умеют извлекать заголовки, поэтому работа через NAT невозможна.

Для устранения этой проблемы разработан протокол NAT-Traversal (NAT-T), обеспечи- вающий передачу ESP через UDP (ESPinUDP) и использующий в своей работе порт 4500/ UDP. При выборе аппаратного маршрутизатора следует обратить внимание на поддержку NAT-Traversal, это снимет ряд вопросов при настройке туннеля IPsec. Если роутер уже есть, то возможно для него доступна прошивка, в которой данный протокол уже поддерживается. Обновления можно поискать на сайте производителя или на специализированных ресурсах вроде DD-WRT (dd-wrt.com), FreeWRT (freewrt.org), OpenWRT (openwrt. org), Midge (midge.vlad.org.ua) и так далее. ЯдроLinuxужеподдерживаетESPinUDP,дляего использованиядостаточновнастройкахсерве- раразрешитьNAT-Traversalвipsec.conf:

nat_traversal=yes

Напомним, что кроме реализации IPsec, встроенной в ядро Linux, есть и альтернативы: strongSwan (strongswan.org) è Openswan (www.openswan.org).

Windows обзавелся поддержкой NAT-T еще в версиях 2000/SP3 и XP/SP2. Чтобы активиро-

вать функцию NAT-T в WinXP, следует в ветке реестра HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\IPsec создать DWORD параметр AssumeUDPEncapsulation ContextOnSendRule и установить его в одно из трех значений, определяющих порядок использования IPsec:

•0 (по умолчанию) — подключение только с «белого» IP;

•1 — подключение только èç-çà NAT (NAT-T);

•2 — оба варианта подключения.

Кстати, Microsoft выпустила инструмент Microsoft IPsec Diagnostic Tool, который позволяет отслеживать состояние IPsec-соеди- нения на локальной или удаленной машине и диагностировать проблему подключения. Утилита работает в WinXP/2k3/Vista/2k8. Чтобы решить проблемы PPTP и IPsec, в новых версиях Windows (Vista SP1, Win7 и Win2k8) Microsoft предлагает использовать подклю- чения по протоколу SSTP (Secure Socket Tunneling Protocol, см. статью «Слоеный VPN» из августовского номера ][ за 2008 год).

КАКИЕКЛИЕНТЫПРЕДПОЧТИТЕЛЬНЕЕДЛЯ РАБОТЫСIPSEC?ВсеОСWindows,начиная

сверсии2000,имеютвсенеобходимоедля подключенияпоIPsec,однаковстроенный клиентсложенвнастройкедажедляадминистраторов,неговоряужеорядовыхпользователях.Именнопоэтомумногиеобращаются

кпрограммамотстороннихразработчиков. БольшойпопулярностьюзарубежомпользуетсяTheGreenBowVPNClient(thegreenbow.com/ vpn.html),имеющийогромноеколичество настроек,втомчислеаутентификациюпри помощисмарт-карт.

D-Link VPN Client обеспечивает удобное подключение по IPsec (шифрование 3DES/AES и поддержка NAT-T) к VPN шлюзам, образованным различными продуктами D-Link.

Линуксоиды, вероятно, предпочтут программу, имеющую графический интерфейс, такую как KVpnc (работает с IPsec, IPsec/L2TP, PPTP, OpenVPN, Cisco, Vtun и SSH). Также хочется отметить небольшой и бесплатный Shrew Soft VPN Client (shrew.net), доступный как для Windows (от 2k до Se7en), так и для FreeBSD, NetBSD, Linux. Он поддерживает подключе- ние к туннелям, образованным IPsec-tools, OpenSWAN, FreeSWAN, StrongSWAN и Isakmpd.

ЗАКЛЮЧЕНИЕКак ты мог убедиться, организация VPN-сервиса требует тщательного планирования и предварительного ознакомления с особенностями каждого протокола. При настройке защищенных соединений на стороне клиента нюансов и неувязок также предостаточно. Мы надеемся, эта статья прольет свет на подводные камни технологии виртуальных частных сетей и поможет тебе решить возникшие проблемы. z