Construint xarxes segures i privades

Avui en dia és inimaginable una xarxa sense connexions a l'exterior. Com podem fer-ho doncs compatible la seguretat de les nostres xarxes?. Freqüentment s'associa que s'obté seguretat xifrant les comunicacions, i tot i que certament aquest és un primer pas, el que realment farà que un tram de xarxa sigui segura o no és, simplement i a més d'això, impedir l'accès a qui no n'estigui autoritzat i enregistrant l'us que s'hi fa per poder determinar que aquest ús és l'adequat. No oblidem que independentment de que la xarxa sigui segura o no, el que s'en faci l'us correcte depen més aviat de que hi accedeixi qui ho ha de fer, i ho faci com està previst sense accedir a aquella informació que no li pertoca.

A part de tot això, el cost de les comunicacions amb gran ample de banda, ja sigui via internet o sense fils, alhora que els sistemes d'encriptació i tallafocs s'ha reduït notablement els darrers anys. Combinant aquestes dues coses, és factible conseguir trams de xarxa protegits amb l'ús d'aquestes xarxes.

Si cliqueu sobre el diagrama que teniu a principi de l'article, veureu com es pot construir un túnel a través d'un tram públic de xarxa, desencriptat i que el pot fer servir tothom, i de forma simultània fer servir de aquest tram públic per a unir dues xarxes privades. Ja sigui entre sub-seus de una mateixa organització, com l'accés a la xarxa de la organització per part dels empleats o persones autoritzades des de casa o estant de viatge.

Aquesta forma d'unir xarxes s'anomena VPN (Xarxes privades virtuals). Són segures per moltíssimes raons, entre les que destacaria:

Els mecanismes de xifrat de les comunicacions són molt més poderosos que, per exemple, els que es fan servir al navegador quan ens hi posa la clau o el candau. Per al xifrat fa servir unes claus que a més, típicament cada hora canvien. És a dir, la potència bruta per a poder desxifrar un missatge no només és molt gran, sinò que a més, en el pitjor dels cassos, només seria vàlid per a desxifrar uns (molt pocs) missatges.
Quan s'estableixen aquest tipus de túnels, es fa amb qui volem i com volem, independentment de que es faci a través de trams públics, els podem configurar de manera que un tercer en una ubicació no prevista, li resulti impossible id'obtenir-ne accès.

Aquests tunels virtuals que uneixen xarxes es poden fer simplement a partir un parell de sistemes linux actuant com a tallafocs en cada tram. Per a fer-ho més senzill hi han aparells que ens els poden proporcionar ja construïts com si es tractés d'una caixa negra (endollar, configurar i funcionar). Depenent de la seva funcionalitat i prestacions n'hi poden haver de molts preus, però avui en dia per poc més de 100 euros ja en podem trovar, com per exemple el Linksys BEFVP41 o el DLink DI804HV. És, per tant, factible a qualsevol pressupost fer comunicacions segures com les que han estat fent servir les entitats financeres o grans empreses que estan alhora protegint la seva propietat.

Finalment, com és de segur aquest mecanisme en relació a altres proteccions com ara, en el cas del WEP (tancar el punt d'accès) en la tecnologia sense fils?

Realment no té comparació. El WEP tot i que en un principi ja és una primera protecció, bàsicament el que fa és impedir que algú de forma senzilla es connecti al nostre punt d'accés, però com que per definició un punt d'accès envia senyal "per aire", si algú realment posa interés i esforç per accedir.hi, al final trovarà la manera. Si traslladem l'escenari a internet, passa el mateix. En canvi, si fem servir combinacions de tallafocs i xarxes unides per VPN, els punts d'accès poden estar perfectament oberts i accessibles a tothom en tant en quant els ubiquem en la zona pública, i alhora podem fer-ho compatible amb ampliar la xarxa pública.

En resum, si a nivell particular, d'organització o empresa el que et preocupa és la seguretat, la bona solució no és posar WEP o 802.11x, tancant així el punt d'accès per fer-ne un ús privat, sinò posant aquestes connexions virtuals.

Mica en mica miraré d'anar explicant amb més detall com configurar aquesta mena de túnels, però el més important és segurament introduir els conceptes. Si algú vol veure això funcionant, m'ho dieu i ho podeu veure per muntat en en tram entre Mas Serí i El Serrat.

Fent un túnel entre dues màquines amb OpenVPN

L'OpenVPN és segurament la manera més senzilla que he trobat per a fer túnels entre dues màquines. És una implementació opensource basada en encriptació OpenSSL, i amb compressió de dades. Per tant, suficient per a crear túnels permanents entre dos ordinadors que alhora eventualment poden fer-se servir per a enllaç via cable o internet entre subxarxes separades. En aquest document explicaré els passos (ben senzills) per a instal.lar sobre un guinux basat en Fedora Core 2, tot que no hi ha d'haver gaire diferència si el posem en qualsevol altre distribució de Linux, Unix o altres sistemes operatius.

En aquest exemple, unirem dos ordinadors amb guinux a través de internet, que, a més, estan alhora protegits per un tallafocs.

Descripció

Ordinador 1:

Ordinador 2:

Instal·lació

Instal·lació del openvpn.
Com que en aquest cas partim de guinux, per agafar el paquet simplement...
```
apt-get install openvpn
```
Amb això, ja tenim el paquet instal·lat.
Ara cal generar la clau per a la encriptació.
Cal situar-nos en el directori /etc/openvpn i executar la comanda per a generar-la.
```
cd /etc/openvpn
openvpn --genkey --secret tunelguifi.key
```
Copiem, de forma segura, la clau (l'arxiu tunelguifi.key)al mateix directori de l'altre ordinador.
Crear l'arxiu de configuració del tunel, que anomenarem tunelguifi.conf i el deixarem en el mateix directori /etc/openvpn. Un exemple com a punt de partida pot ser el següent:
```
local 192.168.0.1
remote 80.0.0.1
dev tun0
port 5000
comp-lzo
user nobody
ping 15
ping-restart 15
route 192.168.1.0 255.255.255.0
persist-tun
persist-key
float
ifconfig 172.25.0.1 172.25.0.2
secret /etc/openvpn/tunelguifi.key
```
Les adreces 172.25.0.1 i 172.25.0.2 son les IP que es fan servir per a l'enllaç. Per a obtenir més informació sobre el significat de cadascun d'aquests paràmetres, ho trobareu ben explicat fent un "man openvpn".

A l'altre ordinador hem de crear també el mateix arxiu, invertint però en aquest cas les adreçes com s'escaigui, en aquest exemple el resultat és:

local 192.168.1.1
remote 80.0.1.1
dev tun0
port 5000
comp-lzo
user nobody
ping 15
ping-restart 15
route 192.168.0.0 255.255.255.0
persist-tun
persist-key
float
ifconfig 172.25.0.2 172.25.0.1
secret /etc/openvpn/tunelguifi.key

Configura el tallafocs (o el router que fa el NAT amb la connexió a internet) de manera envii cap a l'ordinador que està protegit les peticions del port 5000, que en aquest cas és el que s'ha especificat en l'arxiu de configuració tunelguifi.conf (paràmetre "port").
Amb això ja podem provar d'establir el túnel, primer des de la línea de comandes i així veurem si funciona, i en cas de que hi hagi algun problema, veure quin i el perquè:
```
openvpn --verb 5 --config /etc/openvpn/tunelguifi.conf
```
Això ho hem de fer en cada ordinador, i si tot va bé, ha de proporcionar una sortida en la qual la part final diu més o menys així:
```
Jun 24 10:38:48 ordinador1 openvpn[5182]: UDPv4 link local (bound): 192.168.0.1:5000
Jun 24 10:38:48 ordinador1 openvpn[5182]: UDPv4 link remote: 80.0.1.1:5000
Jun 24 10:38:48 ordinador1 openvpn[5182]: Peer Connection Initiated with 80.0.1.1:5000
```
Arrivats a aquest punt, el tunel ja s'establirà de forma automàtica cada vegada que es vulgui fer comunicació entre els dos punts, i podràs fer-hi ping. A partir d'aquí, ja es pot configurar la resta de l'encaminanent necessaris, si és el cas.
El darrer pas és simplement posar que arranqui automàticament el servei, cosa que pots fer des de la Configuració del Sistema, o bé amb la comanda:
```
chkconfig --level 35 openvpn on
```
I per comprovar que com a servei del sistema funciona correctament:
```
service openvpn start
```

pàgina del projecte OpenVPN