DICIEMBRE 2012 79 Configuración Cliente 1 Servidor client proto udp proto udp remote 10.0.0.1 port 1194 port 1194 dev tun dev tun server 192.168.200.0 255.255.255.0 nobind ca claves/ca.crt ca claves/ca.crt cert claves/nodo1.crt cert claves/server.crt key claves/nodo1.key key claves/server.key dh claves/dh1024.pem tls-auth claves/ta.key 1 tls-auth claves/ta.key 0 persist-key persist-tun keepalive 10 60 ns-cert-type server push “route 10.198.0.0 255.255.255.0” topology subnet user nobody group nobody Explicación Cuando iniciamos el servidor configura la dirección IP 192.168.200.1 en la interfaz TUN. La directiva “topology subnet” instruye a OpenVPN para que utilice como dirección ficticia 192.168.200.1. Después de esto se pone a la escucha en el puerto 1194. Con las directivas “user nobody” y “group nobody” se configura el servidor para que si la conexión se ve comprometida el atacante no pueda acceder a los privilegios de usuario privilegiado. Estas opciones requieren “persist-key” y “persist-tun” para poder levantar el enlace en caso de que se caiga. La directiva “keepalive 10 60” le indica a OpenVPN que mande un ping al otro extremo cada 10 segs y considerará que el enlace se ha caído si no ha recibido un ping del otro extremo en los últimos 60 segs, intentando volver a levantarlo. La línea “tls-auth claves/ta.key 0” instruye a OpenVPN a descartar todos los paquetes cuyo encabezamiento HMAC no venga firmado con la clave correcta, impidiendo así un ataque por denegación de servicio (DoS). El cliente 1 se conecta al servidor y después del intercambio inicial (handshake) utilizando los certificados correspondientes, el servidor asigna al cliente 1 la dirección 192.168.200.2 y le inyecta una entrada apuntando a la red 10.198.0.0/24 actualizando la tabla de enrutamiento de cliente 1. La directriz “ns-cert-type server” configura el cliente 1 para que si el servidor al que se conecta no es capaz de producir el server.crt aborte la conexión. Se evita de esta manera el ataque de “hombre en medio”, capaz de hacerse pasar por nuestro servidor.
MEMORIAL INGENIEROS 89
To see the actual publication please follow the link above