OpenVPN — кроссплатформенное, гибкое и удобное решение для организации VPN. Для допуска в виртуальную сеть, построенную на базе OpenVPN, клиент должен авторизоваться. В OpenVPN это можно сделать 3 способами:

• по логину и паролю
• по ключу и сертификату в файлах
• по ключу и сертификату на «борту» криптографического USB-токена или смарт-карты

Последний способ является наиболее безопасным. В топике будет описана авторизация в OpenVPN с помощью криптографического USB-токена Рутокен ЭЦП. Рутокен ЭЦП надежно защищен PIN-кодом от несанкционированного доступа и блокируется при исчерпании попыток ввода PIN-кода, поэтому злоумышленник не попадет в VPN даже в случае кражи токена. Кроме того, в Рутокен ЭЦП аппаратно реализованы алгоритмы ГОСТ и RSA, поэтому аутентификация производится «на борту» токена. Благодаря этому закрытый ключ никогда не покидает токен и его невозможно украсть из оперативной памяти компьютера с помощью троянов.

В топике будет показано, как развернуть тестовый VPN, а также корпоративный УЦ на базе open source приложения XCA. С помощью УЦ будет создан ключ и сертификат сервера OpenVPN и произведена инициализация токена клиента. Затем настроим клиент OpenVPN таким образом, чтобы пользователь мог авторизоваться в OpenVPN с помощью Рутокен ЭЦП.

Тем, кто часто пользуется сервисами анонимизации, а так же интересующимся, вероятно будет интересно узнать, как обычный бесхозный домашний нетбук превращается в локальный сервер анонимизации.

Под катом не только инструкции, но и немного моего опыта использования тех или иных систем анонимизации.

История с недавним взломом протокола коммуникации Siri получила естественное продолжение: разработан прокси-сервер SiriProxy, с помощью которого можно легко добавить дополнительную функциональность к этой программе. Например, через голосовой интерфейс можно посылать текстовые сообщения на произвольные сайты или активировать голосовое управление устройствами в домашней сети. Скажем, вот плагин для термостата:

— Siri, какая сейчас температура в комнате?
— Двадцать градусов.
— Понизь до восемнадцати.
— OK.

Напомним, что после подделки SSL-сертификата и установки своего DNS-сервера программа Siri обменивается данным с вашим собственным сервером, а не с дефолтным guzzoni.apple.com.

Появилась потребность сделать VPN для аутсорсинговой компании — организовать связь с сетями компаний клиентов таким образом, чтобы админы заказчика и собственной сети видели каждый хост клиента за NATом и не было возможно обратное. Аппаратные решения в принципе не рассматривались ввиду стоимости, да и все проприетарные программные решения отсеялись по этой же причине. Остался только свободный софт. Благо свободных решений более чем достаточно

Поскольку начинал я знакомство со свободными системами с FreeBSD — выбор пал на нее. Сразу прошу хабралюдей не разводить холивар на тему BSD vs Linux – основной причиной выбора были более глубокие знания этой системы (до сих пор не могу осилить Linux настолько, чтобы быть уверенным в результатах своей работе с ним). Собственно, ВПН решено было организовать на основе OpenVPN — опять же, раньше приходилось иметь с ней дело, и недостатков я не обнаружил. И снова попрошу без холивара на тему PPTP – если есть приверженцы такого решения – лучше напишите свою статью.

Хотя статьи в стиле how-to и не очень комментируемые, и в основном не с положительными комментариями, однако, именно их, больше всего добавляют в закладки.
Здесь я постараюсь описать процесс установки и настройки VPN-сервера на CentOS6 с пользователями в MySQL и авторизацией через радиус для шифрованного соединения по ms-chap-v2 и mppe.

Преамбула

Откуда берутся данные статьи? Все просто. Когда мы ищем соискателей работы, например, на должность системного администратора, то после отбора кандидатов на предварительном собеседовании, состовляются тестовые задания, реализуются своими силами, а потом предлагаем их решить соискателям. Для исполнения заданий, соискателю предоставляется виртуальная машина, доступ в интернет, и определенное время. Время расчитывается просто — наша реализация *2. При этом, Вы можете считать, что все необходимые решения (how-to) можно найти на просторах интернета, однако, мы учитываем это, и поэтому не берем готовых решения, а состовляем и решаем предварительно их сами, на свежих дистрибютивах. Кстати, бывают случаи, когда мы натыкаемся на определенные проблемы при реализации (маленькие незадокументированные шалости разработчиков), и в случае, если кандидат идет правильным курсом, но попадает в затык именно на этой проблеме, подсказываем найденное нами, её решение.

Министерство телекоммуникаций Пакистана (Pakistan Telecommunication Authority, PTA) разослала интернет-провайдерам страны письмо, которое запрещает ISP использовать любые технологии шифрования, препятствующие мониторингу трафика. В письме отдельно упоминаются виртуальные частные сети с применением шифрования (EVPN).

Судя по всему, власти попытаются блокировать также весь трафик SSL и SSH, чтобы обеспечить беспрепятственный мониторинг каналов связи.

На отдыхе случилась неприятная ситуация: адресное пространство сети гостиницы 192.168.1.0/24 (далее — домашняя сеть) совпало с адресным пространством рабочей сети (при этом подключаемый к VPN компьютер получает адрес из сети 192.168.100.0/24).
При подключении к рабочей VPN все внутренние рабочие ресурсы остаются недоступными, т.к. в этом случае для доступа к ним iPad/iPhone пытается использовать свой беспроводной интерфейс, а не интерфейс в сети VPN.
Под катом очевидное решение, которое, однако, может помочь кому-нибудь сэкономить немного времени на осознание проблемы.

Мой компьютер включен почти всегда. Редкое исключение — длительные поездки далеко за пределы ДС.
Включен почти всегда, потому что очень часто, когда я нахожусь вне дома (на работе, в гостях, просто летом на даче), возникает необходимость зайти на него (по http или же через Remote Desktop) за какими-либо данными.

Всё бы ничего, но доступ в интернет обеспечивается через VPN-соединение.
Которое иногда обрывается. Из-за проблем у провайдера, из-за перезагрузки системы после установки критичных апдейтов или еще по каким-либо причинам.