Introduzione a VPN Ing. Gianpiero Ciacci

Definizione VPN (virtual private network) è una rete di telecomunicazioni privata, instaurata tra soggetti che utilizzano, come tecnologia di trasporto, un protocollo di trasmissione pubblico e condiviso. (fonte wikipedia)

VPN su internet

PROTEZIONE Crittografia Password

Scitala spartana Crittografia per trasposizione Striscia di pergamena avvolta attorno ad una bacchetta Plutarco, Vita di Lisandro

Cifrario di Cesare Cifratura Decifratura BENVENUTI FIRZIRYXM BENVENUTI +4 Cifratura FIRZIRYXM -4 Decifratura BENVENUTI

Cifrario di Vigenère (1586)

Telegramma Zimmermann (1917) 16 gennaio 1917 telegramma dal Ministro degli Esteri dell'Impero tedesco, Arthur Zimmermann  all'ambasciatore tedesco in Messico, Heinrich von Eckardt decrittato dall’ammiraglio inglese William Hall 21 febbraio consegnato a ambasciatore americano a Londra 2 marzo deposizione dello Zar di Russia 3 marzo Trattato di Brest-Litovsk – uscita della Russia dalla guerra 6 aprile entrata in guerra Stati Uniti 14 aprile rifiuto del presidente messicano Carranza a Zimmermann

Enigma

Cifrario di Vernam Unico cifrario con la sicurezza dimostrata matematicamente (Shannon, 1949) Chiavi monouso di lunghezza pari al messaggio da cifrare (spie nella guerra fredda con taccuini con una lunga chiave per ogni pagina, da strappare dopo l’uso)

Algoritmi a chiave simmetrica Mittente e destinatario condividono la stessa chiave per cifrare/decifrare il messaggio e deve esistere un sistema sicuro per scambiarsi la chiave segreta Esempio di algoritmi: DES, 3DES, AES 𝑆 𝑃,𝑘 =𝐶 𝐷 𝐶,𝑘 =𝑃 S = algoritmo di crittazione a chiave simmetrica D = algoritmo di decrittazione a chiave simmetrica P = Plain text message k = key C = Cypher text message

Algoritmi a chiave asimmetrica La chiave pubblica viene usata da chiunque per cifrare il messaggio, ma solo il destinatario con la corrispondente chiave privata può decifrarlo Esempio di algoritmo: RSA Basata su difficoltà della fattorizzazione Dati A e B di centinaia di cifre, ottenere C=A*B è facile e veloce, ma partire da C per ottenere A e B richiede enorme potenza di calcolo e tempo

Password Buone linee di condotta per la password: scegliere le password di lunghezza adeguata numero sufficiente di lettere, numeri e caratteri speciali evitare parole di sport, compleanni, nomi comuni, hobby, marche e film evitare di condividerle modificarle con regolarità Scegliere password diverse per servizi diversi. Software di gestione delle password.

Password più usate (2016) 123456 666666 123456789 18atcskd2w qwerty 7777777 12345678 1q2w3e4r 111111 654321 1234567890 555555 1234567 3rjs1la7qe password google 123123 1q2w3e4r5t 987654321 123qwe qwertyuiop zxcvbnm Mynoob 1q2w3e 123321 Ricerca condotta su 10 milioni di password da Keeper Security. Le 25 password più comuni rappresentano il 50% dell’intero campione Tool di controllo password http://www.passwordmeter.com/ https://password.kaspersky.com/it/

Host to LAN VPN (H2L) Connessioni tra diverse locazioni senza bisogno di linee dedicate Sicurezza nelle comunicazioni Flessibilità d’uso per utenti remoti, indipendenza dal luogo fisico di lavoro Risparmio di tempo e spese per utenti remoti Aumento di produttività Software per la connessione

Caratteristiche VPN H2L Sicurezza – i dati sono protetti nel transito su reti pubbliche tramite crittografia Affidabilità – le connessioni sono semplici, senza vincoli di orario e senza decadimento di prestazioni fino al massimo numero di utenti Scalabilità – le prestazioni possono essere aumentate al bisogno potenziando l’hardware o la banda disponibile

LAN to LAN VPN (L2L) Rende disponibili macchine e servizi di una sede ad utenti di altre sedi Intranet o Extranet Nessuna necessità software dedicato sui PC degli utenti Hardware dedicato Intranet – una società ha più sedi geograficamente separate e le può unire in un’unica rete mediante una serie di VPN tra le varie sedi Extranet – un’azienda che ha rapporti stretti con altre aziende può collegarle tra loro mediante VPN, mantenendo separate le rispettive intranet

Navigazione con VPN

Hardware NAS – Network Access Server Firewall AAA Server (Authentication, Authorization, Accounting) RADIUS (Remote Authentication Dial-in User Service)

Crittografia e protocolli VPN Internet Protocol SECurity (IPSec)  Generic Routing Encapsulation (GRE)

IPSec Collezione di protocolli layer 3 Implementare lo scambio delle chiavi per realizzare il flusso crittografato tramite protocollo IKE (Internet Key Exchange) Fornire la cifratura del flusso di dati: Authentication Header (AH) Encapsulating Security Payload (ESP). AH fornisce autenticazione e integrità del messaggio, ma non offre la confidenzialità ed è il protocollo IP 51. ESP fornisce invece autenticazione, confidenzialità e controllo di integrità del messaggio ed è il protocollo IP 50. Per questi motivi ESP è molto più usato di AH.

Modalità IPSec Transport mode connessione host-to-host; usato dagli end-point, non dai gateway; in caso di cifratura, viene cifrato solo il payload dei datagrammi IP, non l'header; computazionalmente leggero; ogni host che vuole comunicare deve avere tutto il software necessario ad implementare IPsec; si aggiunge solo l'header IPsec; gli indirizzi mittente e destinatario degli end-point sono rilevabili.

Modalità IPSec Tunnel mode connessione gateway-to-gateway; in caso di cifratura, viene cifrato tutto il pacchetto IP originale; utilizzato per realizzare le VPN; computazionalmente oneroso; solo i gateway devono avere il software IPsec; si hanno punti di centralizzazione, quindi single point of failure;

GRE Generic Routing Encapsulation Tunnel GRE incapsulano protocolli incompatibili con reti intermedie all’interno di altri compatibili (es. AppleTalk all’interno di rete IP-only o IPv4 su rete IPv6) Semplice da configurare, ma mancano meccanismi di controllo del flusso e di sicurezza Gestione del traffico multicast

Protocolli VPN H2L Le VPN H2L si basano sul PPP (Point to Point Protocol) layer 2 L2F (Layer 2 Forwarding) - Sviluppato da Cisco; utilizza tutti gli schemi di autenticazione del PPP PPTP (Point-to-point Tunneling Protocol) - Supporta crittografia a 40-bit and 128-bit e tutti gli schemi di autenticazione del PPP L2TP (Layer 2 Tunneling Protocol) – combina caratteristiche dei PPTP e L2F e supporta IPSec; si applica anche a VPN L2L

OpenVPN Software open source per per creare tunnel crittografati punto-punto fra i computer host. Autenticazione con: chiave privata condivisa Certificato digitale Username/password Usa librerie OpenSSL e protocollo SSL/TLS Porta TCP/UDP 1194 Non compatibile con IPSec

Installazione Zeroshell Preparazione pendrive USB Boot da USB IP del PC in classe 192.168.0.0/24 Accesso su https://192.168.0.75 Creazione e attivazione profilo  Reboot IP interfacce (ETH00 LAN, ETH01 WAN) Default gateway NTP Accesso HTTPS e SSH DHCP su ETH00 NAT su ETH01 DNS forwarders Proxy e Firewall

VPN L2L OpenVPN Verifica certificati X.509 CA IP remote host Porta TCP/UDP Server/Client Compression & Encryption PSK Parametri (--cipher AES-256-CBC) Certificato Static Routes

VPN H2L OpenVPN Client OpenVPN su PC File di configurazione Parametri IP Port TCP/UDP Certification Authority Certificato Private Key Source NAT

Esempio file .ovpn remote xxx.xxx.xxx.xxx 1194 proto tcp auth-user-pass comp-lzo verb 3 mute 20 resolv-retry infinite nobind client dev tap persist-key persist-tun <ca> -----BEGIN CERTIFICATE----- MIIDtDCCApygAwIBAgIBADANBg…… -----END CERTIFICATE----- </ca> <cert> MIIDIDCCAgigAwIBAgIBAzANBg…… </cert> <key> -----BEGIN RSA PRIVATE KEY----- MIIEpAIBAAKCAQEAr6u7DpkTI…… -----END RSA PRIVATE KEY----- </key>

Schema VPN L2L Router Org.Ing. ZS Ing Notebook ZS UPS Switch AP .254 .139  192.168.1.0/24 ZS Ing .1  192.168.20.0/24 .1 Notebook 10.0.0.0/30 .2 ZS UPS .1 .2 Switch  192.168.10.0/24  .3 AP 193.204.192.8/24