OpenSSH ile VPN Kurulumu

Ilk ciktiginda nasil yapilacagi konusunda birseyler yazmistim burada bulunmasinda da fayda gordugum icin tekrar yaziyorum.  Linux-FreeBSD arasinda OpenSSH’i kullanarak pointo-to-point VPN yapmak icin asagidaki adimlari izlemeniz yeterli olacaktir.

Not-1:noktadan noktaya VPN kurulumu icin sshd-config dosyasinda PermitTunnel secenegi yes olmali.
Not-2: VPN Tüneli kurulabilmesi için SSH’in root kullanıcısına izin vermiş olması gerekir. Bunun için sshd_config dosyasındaki PermitRootLogin yes olmalıdır.

PermitTunnel yes
PermitRootLogin yes

Örnek;

Site1(++)–GW1–internet--GW2(5.6.7.1)–Site2(++)
yukarıdaki sistemde site1 ile site2 arasında VPN yapmak istiyoruz.
Bunun için gerekli ssh ve ip yapilandirmasi.. Read more »

SSL VPN sistemlerde MITM tehlikesi

SSL VPN sistemler son yillarin en moda uzaktan erisim yontemi olma yolunda hizla ilerliyor. Kullanirken ya da satarken hep esnekliginden, kolay kullanimindan ve nasil uygulamalari guvenli hale getirip sorunsuz bir sekilde uzaktan sirkete ait her islemi guvenli sekilde yapabilecegimizden bahsederiz fakat barindirdigi riskleri hep gozardi ederiz.

Kullanım oranı ve kullanım rahatlıgı gozonunde bulundurulursa dogru yapilandirilmamis SSL VPN sistemlerin  ciddi MITM riskleri ile karsi karsiya oldugunu soyleyebiliriz.

Aslinda MITM(ortadaki adam) saldirisi tum uygulamalar icin basbelasi bir saldiri yontemi fakat is SSL olunca biraz degisiyor. Zira SSL’in insanlari rahatlatan bir yani var. “Ne olacak ki nasil olsa sifreli gidiyor trafigim, istedigim yerden baglanirim sirkete ve gider finans tablosunu update ederim, maillerime bakarim:) …”. Bir de ustune elimize tutusturduklari sifre ureticiler olunca ultra guvenlik hissi ile uzaktan her tur islemi yapar hale geliyoruz. Read more »

OpenVPN & OpenBSD’i sistem hesaplarini kullanacak sekilde yapilandirmak

Acik kaynak SSL VPN cozumu OpenVPN‘nin onaylama mekanizmasi icin sistem hesaplarini kullanmak PAM altyapisi kullanmayan sistemlerde(OpenBSD gibi) pek mumkun gozukmuyor.

Bunun icin kendiniz bir betik/program yazarak sistem kullanicilarini OpenVPN ile calisacak hale getirebilirsiniz. Bunun icin piyasada kullanabilecek cesitli alternatifler var. Benim test ettigim ve kullandigim openvpn-auth-passwd isini oldukca iyi yapiyor.
Read more »

VPN Over DNS..

root | 26 August, 2006 01:17

Hayir oyle kompleks programlar ve karisik islemlerle DNS uzerinden nasil sinirsiz erisime sahip olunacagini gostermeyecegim.. Basitce ic aginda internetteki DNS sunuculara sinirsiz erisim verip de kullanicilari kontrol altina aldigini dusunen ag yoneticilerine mini bir tavsiyem olacak.

OpenVPN sunucu yapilandirmasinda servisi udp port 53 e ayarlayip istemci tarafinda da ekteki konf. kullanarak ic agindan dns sunuculara erisimi olan yerlerde(Buraya dns sorgulamalarina izin veren wi-fi hotspotleri de ekleyebiliriz)sinirsiz erisime sahip olabilirsiniz..

client
proto udp
dev tun
remote VPN_SUNUCU 53
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
auth-user-pass
comp-lzo
Nasil mi engelleyecegiz? Ethereal ile udp port 53′u dinleyerek vpn iletisiminin kurulmasi asamasinda paketlerde imza niteligi tasiyan bilgiler bularak bu bilgileri Snort vs gibi bir IDS sistemine tanitarak ya da en sagliklisi istemcilerinizin sadece sizin belirledigi DNS sunucularina sorgu gondermesini saglayarak..

OpenSSH ile VPN Kurulumu

Acik kod dunyasinda vpn kullanimi icin oldukca cok secenek var[1]. Fakat en hizli, en kolay VPN kurulumu kanimca OpenSSH ile yapiliyor. OpenSSH 3.4 surumu ile birlikte gelen tunnelin destegi[2] ile tam bir VPN kurulumu gerceklestirilebiliyoruz.

Ornek;

Site1(1.2.3.0/24)–GW1–internet–GW2–Site2(5.6.7.1/24)
yukaridaki sistemde site1 ile site2 arasinda VPN yapmak istiyoruz.. Bunun icin gerekli ssh ve ip yapilandirmasi..

Site1;
#ssh -w0:0 5.6.7.1

bu adimdan sonra her iki tarafta tun0arabirimleri acilacak ve up hale gelecektir. Bundan sonraki islem bu arabirimlere uygun IP adresleri atamaktir..

Site1 icin IP tanimlamasi;

#ifconfig tun0 100.100.100.1 netmask 255.255.255.252

Site2 icin IP tanimlamasi;

#ifconfig tun0 100.100.100.2 netmask 255.255.255.252

ayarlari kalici hale getirmek icin kullanlian Linux/UNIX dagitima gore gerekli islemler yapilmali.. Bu ayarlari tamamladiktan
sonra tunelin iki ucu birbirini gorur vaziyettedir. Bunu bir uctan digerine ping atarak sınayabiliriz. (sistemdeki Firewall vs nin tun0 icin engelleme yapmadigini varsayiyoruz..)

Bundan sonra yapilacak ayarlar VPN’i ne amacla kullanacaginiza bagli olarak degisir. yine yukaridaki cizime gore devam edecek olursak. Site1′in site2′ye ulasmasi icin;

Site1 gatewayinde

#route add -net 5.6.7.0/24 dev tun0

komutunu vermeliyiz. Boylece ssh kurulu gateway’e gelen paketler dogru araibirimden yonlendirilerek karsi sisteme ulasacaktir. Ayni sekilde site2′ye ulasan paketlerin geri donebilmesi icin Site2 gatewayinde

#route add -net 1.2.3.0/24 dev tun0

komutu verilmeli ve son olarak IP forwarding aktif edilmeli.
sysctl net.inet.ip.forwarding=1 (*BSD sistemler icin), linux icin
echo 1 > /proc/sys/net/ipv4/ip_forward komutu da ise yarar.

ya da ihtiyaca gore NAT yapilabilir…

Not:noktadan noktaya VPN kurulumu icin sshd-config dosyasinda PermitTunnel secenegi yes olmali.[3]

[1] Acik kod VPN Cozumleri – http://www.enderunix.org/slides/Internet%20Konferanslari/acikkodvpn.pdf
[2] -w tunnel:tunnel
Requests a tun(4) device on the client (first tunnel arg) and
server (second tunnel arg). The devices may be specified by nu-
merical ID or the keyword “any”, which uses the next available
tunnel device. See also the Tunnel directive in ssh_config(5).

[3] man sshd_config
PermitTunnel
Specifies whether tun(4) device forwarding is allowed. The argu-
ment must be “yes”, “point-to-point”, “ethernet”, or
“no”. The default is “no”.