1. Openvpn De ultieme vpn oplossing Jan Guldentops ( [email_address] ) BA N.V. (http://www.ba.be)

2. ABout BA More information 3. I nformationI ntegration i 4. Our Commitment Ask our partners 5. Our Commitment Ask our clients Government Non-profit Enterprise Association Vincotte Nuclear, Idewe, Handicap international, Jeugd en Stad Vzw) Hamburger Mannheimer, Didak Injection, Credimo, Nollekens (PGZ International), Altrad Havico, Paratel, Sodexo,Securex Leuven, Hasselt, Boom, Overpelt, Mortsel, Ranst, Lummen, Olen, ST-Katelijne-Waver, Kasterlee, Oud-Turnhout, OCMW Kontich, PZ Noord, Balen, Schoten, Zwijndrecht, KBR 6. Information Integration BAs infrastructure for: Digitisation Security Mobility Virtualisation Data Storageand Warehousing Data Protection and Integrity DigitalPreservation and Archiving Data Access and Portability 7. Why BA? Principles Experienced Committed Access to local know how from a motivated team contributing to solving problems Offering cost effective open source integrations and IT services since more than 12 years Reliable Long standing reputation as security innovatorand managed solutions provider 8. BA & Open Source Principles Oldest Belgian Linux Company Focus on open source > 90% of the solutions we deliver are open source. Delivering Linux & open source solutions since 1996. Realism no fundametalism We are convinced that open source is the best solution without loosing grip with reality. 9. De perimeter is totaal verdwenen

We werken van overal

Overal internetconnectiviteit

10. Grote bandbreedtesverbinden via Virtual Private Networks (VPN)

sterke authenticatie

11. gencrypteerde sessies 12. Welke VPN oplossingen zijn er ?

IPSEC-gebaseerde oplossingen

13. PPTP 14. Allerlei proprietaire oplossingen 15. SSL VPNS

webbased

16. andere 17. Pro's / Cons

IPSEC

uitermate veiligmaar te complex

18. 100 verschillende implementaties, nauwelijks interoperability 19. werkt vaak slecht door netwerken met NAT waar je weinig controle over hebt. PPTP

uitermate simpelwerkt door quasi elk netwerk (soms problemen met NAT)

20. maar intrinsiek onveilig 21. Toepassingsvelden

Site to site vpns

22. Client / telewerkers vpns

bridged setup

23. routed setupTunnels

Toegang krijgen tot servers die achter een firewall staan die jij niet beheert

24. Hoe werkt openvpn ?

Uniek :gaat connecteren op 1 tcp of udp-poort

udp werkt efficienter met minder overhead

25. ook over de ssl-poort (tcp/443) of zelfs de dnspoort (tcp/53) 26. werkt optioneel door een proxy 27. Maakt een tun of tapdevice aan dat werkt als een echte interface... 28. Belangrijk: Authenticatie

Ofwel via keys

Uit de certificate authority

Ofwel via userid en wachtwoord

Uit een password-file

29. Extern applicatie (RADIUS bv) 30. LDAP

Elke LDAP-omgeving ook Active Directory

Kan zelfs werken met EID en tokens 31. Encryptie

Openvpn komt met een eigen CA (Easy-RSA)

Mini Certificate authority om alle keys te generen

CA

32. ta.key 33. Dh 34. Keys per user 35. Belangrijk: netwerkdesign

Goeie design is belangrijk :

Tun-devices hebben nood aan een eigen netwerkrange

36. Alle os'en ondersteunen /24 hiervoor 37. Windows niet enkel /30 38. Als je dubbele netwerken hebt is er geen routing mogelijk ! Je kan door middel van ccd's vaste ipadressen en routes geven ! 39. Installatie openvpn

http://openvpn.net

40. Debian

Apt-cache install openvpn

41. Redhat-achtigen

Dag Wiers:http://dag.wieers.com/rpm/packages.php

BA appliance

Gratis beschikbaar op aanvraag

42. Demo: easy-rsa

Alle instellingen zitten in vars

Altijd eerst starten met . ./vars

Build-ca bouwt een CA op

43. Build-key-servermaakt de key voor de server 44. Build-keymaakt de key voor de client

Zorg dat de CN juist staat !

build-dh Een key wissen is niet genoeg om hem te disabelen !!

./revoke-full

45. Openvpn configureren

Example config with keys

46. Example config with openldap 47. Example client config 48. Logfiles 49. CCD example 50. /etc/init.d/openvpn 51. openvpn --genkey --secret ta.key 52. Gui

Openvpn GUI 4 windows

53. Tunnelblick for Mac OS X, 54. Webmin OpenVpn Admin Module 55. Mono OpenVPN-Admin 56. Kvpnc 57. Openvpn control 58. 59. 2.1 versus 2.0

Betere windows support

60. PKCS #11 support 61. multihome feature voor UDP 62. Portsharing voor https 63. Tips & trucks

Integreer je vpn met de rest van je firewalling / networking

Firewalls

64. NAT of geen NAT Als je userid / wachtwoord gebruikt kan je een volledige distributie voor windows maken en uitrollen. 65. Tcpdump is your friend ! 66. Thank You Contact us 016/ 29.80.45 016/ 29.80.46 www.ba.be Dalemhof 28B-3000 Leuven [email_address]