La possibilità di connettersi ad una rete aziendale anche trovandosi al di fuori della sede è diventata una necessità quotidiana per lo svolgimento della propria attività lavorativa.

Tipici esempi dell’applicazione della tecnologia VPN possono essere le connessioni alla rete per recuperare o accedere ai dati, per eseguire dei lavori di manutenzioni in remoto o fornire il supporto per gli utenti.

Naturalmente l’accesso alla rete deve rispecchiare alcuni criteri di sicurezza per garantire l’integrità e la riservatezza dei dati durante la connessione.

La protezione della connessione tra un computer esterno alla rete e la rete stessa viene effettuata criptando la comunicazione tra client e server, quindi stabilendo una connessione definita VPN (virtual private network).

La tecnologia VPN sfrutta le normali connessioni Internet tramite le normali linee analogiche PSTN, ISDN (quelle di casa per intenderci), il cellulare (GSM, GPRS, UMTS) o le più veloci linee Internet xDSL.

Fra le varie tecnologie disponibili (IPsec, PPTP per citarne alcune), particolare attenzione deve essere fatta per OpenVPN , una soluzione VPN SSL open source che, oltre ad essere molto efficiente, offre una varietà di configurazioni come l’accesso remoto, connessioni site-to-site, sicurezza per le reti wireless applicabili sia per le PMI che le Enterprise.

1. INSTALLAZIONE
Per implementare un sistema OpenVPN, abbiamo bisogno di un computer che svolga la funzione di server per la gestione delle connessioni e della sicurezza. Il server è consigliato installarlo con un sistema operativo Linux (è più sicuro) e con il package OpenVPN (disponibile sia per Linux che per Windows) e configurarlo opportunamente a seconda della funzione operativa (road warriors o  site-to-site). Il server gestirà le connessioni effettuate dai clients verificandone l’autenticità dell’utente tramite la verifica delle chiavi e la black list.

Nei clients viene installato sempre lo stesso package utilizzato per il server ma con una configurazione dedicata (client) che permette di effetture il collegamento in modalità protetta e sicura (tunnel) al server garantendone la riservatezza dei dati.

Gli utilizzi tipici per connessioni VPN sono tipicamente:

• road warriors
• site-to-site

2. ROAD WARRIORS
Questa è la definizione che identifica la connessione fra un utente esterno alla rete e la rete stessa. Probabilmente per le PMI è la connessione maggiormente utilizzata durante il proprio business.

Questa tipologia di configurazione viene molto utilizzata per offrire l’assistenza remota tipicamente fornita dagli operatori IT o almeno dovrebbe essere così per garantire una certa sicurezza.

Una possibile configurazione da utilizzarsi allo scopo, può essere definita in questo modo:

Configurazione Road Warriors – Server

# —————————————————————-
# Configurazione road warriors – SERVER
# OS: Linux
# —————————————————————-

dev tun
proto udp
port 1194

ca ca.crt
cert nome.crt
key nome.key
dh dh2048.pem
float
mode server
tls-server

ifconfig 192.168.xx.1 192.168.xx.2
ifconfig-pool 192.168.xx.100 192.168. xx.150

route-up “route delete -net 192.168.xx.0/24″
route-up “route add -net 192.168.xx.0/24 tun0″
push “route 192.168.xx.0 255.255.255.0″
push “route 192.168.xx.1″
push “dhcp-option DNS 192.168.yy.1; 192.168.yy.2″
push “dhcp-option DOMAIN dominio”

user nobody
group nobody

client-to-client
max-clients 5
keepalive 10 120
persist-key
persist-tun
comp-lzo

auth RSA-MD5
cipher AES-256-CBC
tls-auth tls.key 0
crl-verify crl.pem
plugin /usr/lib/openvpn/plugin/lib/openvpn-auth-pam.so login

verb 3
mute 10
log-append packet.status
status vpn-status.log

Configurazione Road Warriors – Client

# —————————————————————-
# Configurazione road warriors – CLIENT
# OS: Windows
# —————————————————————-
dev tun
proto udp
port 1194
pkcs12 “C:\\Program Files\\OpenVPN\\config\\chiave.p12″

remote dns-name/IP-address

float
resolv-retry 86400
client
nobind

persist-key
persist-tun
comp-lzo

auth RSA-MD5
cipher AES-256-CBC
ns-cert-type server
tls-auth “C:\\Program Files\\OpenVPN\\config\\tls.key” 1
“/C=IT/ST=MI/O=PVnets/CN=server/emailAddress=email@domain.xxx”
auth-user-pass

verb 3

Per i dettagli dei vari comandi esiste una ricca documentazione, oltre al fattore esperienza, che permette di trovare la configurazione che più si adatta alle esigenze. OpenVPN è una soluzione robusta, semplice da utilizzare e permette di trasportare la configurazione sulle varie piattaforme disponibili Windows, Linux, MAC senza grosse modifiche.

3. SITE-TO-SITE
Questa è la definizione che identifica una connessione VPN fra una o più sedi. In pratica si sfrutta questa configurazione per collegare varie subnets per formare un’unica LAN rendendo disponibili i servizi di rete (servers, stampanti, web, applicazioni, etc.) agli utenti dell’azienda indipendentemente dalla loro locazione.

Le sedi possono essere collegate anche affidandosi a linee dedicate (frame relay, leased lines ad esempio) ma non è molto conveniente dal punto di vista economico e la gestione della configurazione ?
? nelle mani del provider. Avendo a disposizione un’adeguata connessione a Internet, tramite la tecnologia VPN è possibile ridurre significativamente i costi ed offrire un certo controllo sulla configurazione, sicurezza e prestazioni.

La configurazione site-to-site è simile a quella illustrata precedentemente ma data la particolarità dell’utilizzo, è soggetta alla tipologia e struttura della rete esistente.

4. CONCLUSIONI
OpenVPN è una valida alternativa ai protocolli VPN tipo IPsec, PPTP ed è una soluzione open source soggetta a licenza GPL, quindi non necessita di costi aggiuntivi per il suo utilizzo “standard”.
Inoltre la gestione è più semplice rispetto ad altre soluzioni e le prestazioni sono molto efficienti con un fattore sicurezza molto alto ed affidabile.

Abbinare un firewall tipo IPCop, come illustrato in un precedente articolo, ed il modulo OpenVPN (Zerina) può essere una valida soluzione “all in one” per le PMI.

Hai già letto questi articoli?

• Accedere alla rete aziendale tramite VPN SSL
• Configurare un firewall con IPCop

IPCop è un ottimo firewall open source basato su Linux Debian custom. La configurazione tipo è possibile reperirla presso il sito ufficiale IPCop dove viene dettagliatamente documentata.

Ho trovato molto utili alcune modifiche ed informazioni per customizzare il sistema rendendolo più completo e sicuro.

1. ACCEDERE A IPCop VIA SSH
Per accedere al sistema via SSH (tramite l’utility Putty ad esempio) ricordarsi che IPCop non utilizza la porta standard 22 ma bisogna impostare la porta 222.

2. CONFIGURAZIONE VIA WEB
Tramite browser è possibile accedere alla configurazione del sistema IPCop digitando l’indirizzo https://ip-address:445.

3. ADD-ONS
Utili add-ons per completare il sistema IPCop possono essere i seguenti:

• Copfilter (antivirus, antispam, web filter)
• Advanced proxy (aggiunge autenticazione e altre caratteristiche)
• Zerina (OpenVPN)
• BlockOutTraffic (blocca il traffico che IPCop lascia passare)

4. FORZARE L’UTILIZZO DEL PROXY
Se il browser dei clients (IE, Firefox, Opera) non viene configurato, l’accesso a Internet avviene direttamente senza avvalersi del proxy. Questo può rivelarsi non molto utile per motivi di sicurezza, controllo e utilizzo di banda.
In una rete è opportuno che tutti i clients passino per un proxy impedendo la navigazione a Internet se il browser non viene correttamente impostato (manualmente, via GPO, script, etc…).

- per forzare i clients ad accedere a Internet tramite il proxy, editare il file:

# vi /etc/rc.d/rc.firewall.local

- identificare la voce riportata ed inserire l’istruzione:

## add your ‘start’ rules here
# /sbin/iptables -A CUSTOMFORWARD -i eth0 -o eth1 -p tcp -m mport –dports 80,443 -j DROP

dove:
eth0= GREEN interface
eth1= RED interface

- per caricare la nuova configurazione:

# /etc/rc.d/rc.firewall.local reload

5. ZERINA (OpenVPN)
Se si installa l’add-on per l’utilizzo di OpenVPN e si presenta la necessità di modificare manualmente le impostazioni fatte in automatico, bisogna editare il file di configurazione:

# vi /var/ipcop/ovpn/server.conf

Ricordarsi che se successivamente vengono fatte delle modifiche tramite interfaccia grafiche, le impostazioni manuali vengono perse.

6. RAFFORZARE LA SICUREZZA DEL SISTEMA
Per rafforzare la sicurezza del sistema, si possono adottare alcune soluzioni come già descritte nel precedente articolo “Mettere in sicurezza un sistema Linux“.

Hai già letto questi articoli?

• Evitare lo spamming dalla propria rete
• Accedere alla WebMail (http) attraverso Brightmail
• Configurare il comando yum dietro ad un proxy
• Mettere in sicurezza il logon di Windows 7