Jeśli zdarza wam się często podróżować po świecie lub chociażby od czasu do czasu bywać w restauracjach, na dworcach czy w centrach handlowych, to na pewno nie raz spotkaliście się z publicznymi sieciami Wi-Fi. Mają one wiele zalet: umożliwiają przeglądanie stron internetowych podczas długiego oczekiwania na samolot, pozwalają szybko ściągnąć maile z załącznikami, gdy akurat jesteśmy na lunchu w restauracji – niezależnie od tego, czy korzystamy z notebooka, tabletu lub telefonu z Androidem, czy też iPhone’a bądź iPada. Niekiedy, aby móc się z nimi połączyć, musimy najpierw zdobyć hasło – wówczas komunikacja między naszym urządzeniem a ruterem może być szyfrowana, jednak nawet w takim przypadku rzadko stosuje się tzw. izolację klientów, a co za tym idzie wszystkie podłączone terminale znajdują się w jednej sieci i mogą komunikować się między sobą, przez co są podatne na ataki. Nierzadko hotspoty na lotniskach i w centrach handlowych nie wymagają podania żadnych danych dostępowych. Oznacza to, że podłączyć się może do nich każdy, także przestępcy.
Korzystając z odpowiedniego sprzętu i oprogramowania, mogą oni następnie podsłuchiwać przesyłane w sieci pakiety danych, zbierając informacje wysyłane przez innych użytkowników – w tym loginy i hasła do poczty, serwisów internetowych czy różnych kont firmowych. Z taką wiedzą łatwiej im potem wyłudzić dostęp np. do kont bankowych, czego skutków łatwo już się domyślić. Ujmując rzecz w skrócie: łącząc się za pomocą smartfonu, tabletu czy komputera z publicznymi sieciami, narażamy na kradzież nasze poufne dane. Jeśli będzie to login i hasło do forum internetowego, być może szkody nie będą wielkie – jeśli wyciekną poufne maile firmowe, wówczas konsekwencje mogą nas dużo kosztować.
Co zatem zrobić, jeśli musimy skorzystać z Internetu, a nie mamy dostępu do bezpiecznego połączenia? Stwórzmy je sami. Duże firmy, aby zapewnić swoim pracownikom dostęp z zewnątrz do zasobów sieci wewnętrznej, stosują tunele VPN (Virtual Private Network). Dwa hosty łączą się przez sieć publiczną za pomocą szyfrowanego połączenia. O ile rozwiązania korporacyjne, włączając w to sprzętowe bramy VPN, są kosztowne, o tyle użytkownicy domowi i małe firmy posiadające serwer NAS mogą skorzystać z bezpłatnego oprogramowania OpenVPN. Jego zaletami są dostępność aplikacji klienckich na różne platformy (Windows, Linux, Mac OS X, iOS, Android) i dość prosta konfiguracja.
Instalacja VPN
Na przykładzie serwera Synology pokażemy, jak zainstalować oprogramowanie serwera VPN, skonfigurować konta użytkowników i ich uprawnienia oraz ustawić zaporę sieciową.
1. Instalacja oprogramowania
Po zalogowaniu się jako administrator do serwera NAS z menu głównego przechodzimy do »Centrum pakietów«, w zakładce »Narzędzia« odnajdujemy »VPN Server« i wskazujemy »Zainstaluj«. W kolejnym oknie wybieramy wolumen, na którym chcemy zainstalować pakiet. W ostatnim zaznaczamy »Uruchom po instalacji« i potwierdzamy operację, wciskając »Zastosuj«.
2. Ustawienia zapory
Oprogramowanie DSM po instalacji pakietu samo proponuje, które 2 porty należy otworzyć w zaporze, aby można było korzystać z okre-ślonych usług. Jeśli w przyszłości zechcemy to zmienić, z »Panelu sterowania« serwera wystarczy wybrać ikonę »Bezpieczeństwo«, a następnie zakładkę »Zapora sieciowa«. Na wyświetlonej liście wskazujemy pozycję z tekstem »VPN Server« w polu »Porty« i zaznaczamy »Edytuj«. Jeśli brak takiego wpisu, wybieramy polecenie »Utwórz« i »Wybierz z listy wbudowanych aplikacji«. Następnie kli-kamy »Wybierz« i zaznaczamy porty odpowiadające pakietowi VPN Server. Aby zabezpieczyć się przed próbami nieautoryzowanego dostępu, warto w zakładce »Automatyczne blokowanie« ustawić mak-symalną liczbę prób logowania, np. na dwie w ciągu pięciu minut.
3. Przypisywanie uprawnień
Z menu głównego wybieramy »VPN Server«. Jeśli nasz serwer ma więcej niż jeden interfejs sieciowy, na zakładce »Ustawienia ogólne« zaznaczamy ten podłączony do Internetu. Możemy też usunąć zaznaczenie opcji przyznawania uprawnień nowym użytkownikom. Przechodzimy do karty »Uprawnienie«, gdzie przypisujemy użytkownikom prawa dostępu do poszczególnych protokołów VPN.
4. Włączanie serwera
Z grupy »Ustawienia« wybieramy »OpenVPN« i zaznaczamy »Włącz serwer OpenVPN«. W polu »Dynamiczny adres IP« określamy trzy pierwsze oktety adresów, jakie będą przypisywane łączącym się z serwerem użytkownikom. Poniżej wybieramy maksymalną liczbę połączeń VPN. Aby oszczędzać transfer, zaznaczamy »Włącz kompresję łącza VPN«. Na koniec, klikając przycisk »Eksportuj konfigurację«, pobieramy ustawienia połączenia i certyfikat serwera. Będą one niezbędne do połączenia.
5. Edycja pliku.ovpn
W pobranym archiwum znajdują się trzy pliki: pierwszy z nich to instrukcja, drugi to certyfikat serwera, nas najbardziej interesuje plik konfiguracyjny »openvpn.ovpn«. Aby móc zestawić połączenie, musimy go edytować, np. w notatniku. Zamiast »YOUR_SERVER_IP« wpisujemy publiczny adres IP lub domenowy naszego serwera. Usuwamy też znak »#« przed wpisem »redirect-gateway« i dodajemy nową linijkę zawierającą »ns-cert-type server«.
Ruter i DNS
Jeśli dysponujemy publicznym adresem IP, będziemy mogli tak skonfigurować przekierowania portów, aby możliwe było połączenie z zewnątrz. W przypadku dynamicznych adresów wygodne będzie skorzystanie dodatkowo z usługi DDNS.
1. Ustawienia rutera
Większość ruterów umożliwia przekierowanie portów w celu udostępnienia usług działających w sieci lokalnej na zewnątrz. Aby można było zestawić tunel VPN, konieczne jest zatem przekierowanie odpowiednich portów usługi na adres IP serwera NAS w sieci LAN. W przypadku ruterów Fritz!Box marki AVM wybieramy z menu »Internet«, a następnie »Permit Access«. Po prawej stronie otwieramy kartę »Port Forwarding«. Za pomocą przycisku »New Port Forwarding« dodajemy kolejne zakresy portów. Do OpenVPN wystarczy przypisać port 1194, do PPTP – 1723. L2TP/IPSec korzysta
z portów 1701, 4500 i 500. Należy też zwrócić uwagę na używany protokół (TCP lub UDP).
2. Dynamiczny adres
Jeśli korzystamy z łącza ze stałym adresem IP, wówczas w pliku konfiguracyjnym OpenVPN wystarczy podać ten adres. Gdy używamy np. połączeń ADSL, to publiczny adres IP zmienia się przynajmniej raz na kilkanaście godzin. Ręczna aktualizacja pliku konfiguracyjnego byłaby wtedy uciążliwa. Rozwiązaniem jest skorzystanie z dostępnych w Sieci serwisów DDNS. Wówczas zamiast podawać zmieniający się adres IP, posługujemy się bardziej przyjazną i stałą nazwą domenową, np. chiptest.chickenkiller.com. W tym celu zakładamy konto na stronie freedns.afraid.org i rejestrujemy własnąsubdomenę.
3. Adres z NAS-a
Okresową aktualizację adresu IP w usłudze DDNS może przeprowadzać nasz serwer NAS. Praktycznie wszystkie serwery mają taką funkcjonalność. Synology udostępnia ponadto własną usługę DDNS z przyjaznymi i łatwymi do zapamiętania domenami. Aby zarejestrować adres chiptest.myds.me, logujemy się do serwera i w »Panelu sterowania« wybieramy »Dostęp zewnętrzny«. Klikamy »Dodaj« i z listy wybieramy »Synology«. Kliknięcie przycisku »Zarejestruj teraz« przeniesie nas do formularza rejestracji, gdzie podajemy dane naszego konta MyDS (które wcześniej tworzymy na stronie synology.com). W tym samym miejscu możemy też dodać inne zarejestrowane wcześniej konta w innych usługach DDNS.
4. DDNS przez ruter
Jeśli wolimy, zlećmy aktualizację adresu ruterowi. W większości modeli mamy zdefiniowaną listę dostawców usług. W niektórych ruterach – np. Fritz!Boxach – możemy określić własnego usługodawcę. Z menu wybieramy »Internet« i »Permit Access«, a następnie zakładkę »Dynamic DNS«. Na rozwijalnej liście klikamy pozycję »User-defined«. Poniżej podajemy dane dostępowe i adres aktualizacji utworzonej w punkcie 2. subdomeny (odnośnik »Direct URL« z listy domen na stronie freedns.afraid.org).
Android i iOS
Posiadacze urządzeń wyposażonych w Androida lub iOS mogą ze sklepów pobrać aplikację OpenVPN Connect. Użytkownicy terminali BlackBerry mogą liczyć tylko na rozwiązania korporacyjne.
1. Instalacja aplikacji
W sklepie z aplikacjami wyszukujemy i instalujemy »OpenVPN Connect« producenta OpenVPN. Na platformę Android dostępnych jest też wiele innych programów różnych dostawców, polecamy jednak tę stworzoną przez zespół programistów związanych z projektem OpenVPN.
2. Kopiowanie profilu
Ściągnięty wcześniej i edytowany plik z konfiguracją połączenia oraz plik certyfikatu kopiujemy do pamięci telefonu. Możemy to zrobić, podłączając sprzęt do komputera lub kopiując pliki na kartę SD. Aby profil działał z aplikacją mobilną, musimy do niego dodać jeszcze jeden wpis. Odnajdujemy linijkę »ca ca.crt« i poniżej dodajemy »setenv CLIENT_CERT 0«. Umożliwi to połączenie bez użycia certyfikatu użytkownika.
3. Importowanie profilu
Otwieramy aplikację »OpenVPN Connect« i z menu wybieramy polecenie »Import«. Następnie wskazujemy »Import from SD card« i wyszukujemy plik »openvpn.ovpn«. Import potwierdzamy przyciskiem »Select«. Na kolejnym ekranie zostaniemy poproszeni o podanie nazwy użytkownika i hasła. Zaznaczając pole opisane jako »Save«, zapamiętamy hasło i program nie będzie więcej o nie pytał.
4. Łączenie
Aby zapisać ustawienia i zestawić połączenie z serwerem VPN, wciskamy przycisk »Connect«. Po krótkiej chwili powinniśmy otrzymać komunikat o udanym połączeniu. Dodatkowo w Obszarze powiadomień w Androidzie znajdziemy dwie nowe ikony informujące o aktywnym połączeniu.
5. Zabezpieczanie
Od tej chwili wszystkie aplikacje na smartfonie będą przesyłać dane przez bezpieczny tunel VPN, ale tylko wówczas, gdy będzie on aktywny. Jeśli go rozłączymy, dane popłyną przez publiczną sieć. Aby temu zapobiec, wejdźmy w ustawienia aplikacji, wybierając z menu »Preferences«. Tam zaznaczamy »Seamless Tunnel« – spowoduje to zablokowanie wszelkiej komunikacji z Internetem, jeżeli tunel VPN nie będzie aktywny. Jeśli chcemy, aby VPN był ciągle aktywny, zaznaczmy też opcję »Reconnect on reboot« oraz w pozycji »Connection Timeout« wybierzmy »Continuosly retry«.
6. Sprawdzanie połączenia
Aby upewnić się, czy tunel działa, wystarczy w przeglądarce otworzyć jedną ze stron pokazujących nasze IP. Po lewej widzimy rzeczywisty adres naszego urządzenia, a po prawej tę samą stronę otwartą z użyciem tunelu VPN do NAS-a. Efekt – nasze dane są bezpieczne.
Notebook: VPN dla każdego
Do komputerów z systemem zarówno Windows, jak i Linux oferowane jest oprogramowanie klienckie OpenVPN. Użytkownicy Mac OS X mogą do połączenia wykorzystać aplikację Tunnelblick. Jej konfiguracja jest podobna jak OpenVPN w Windows.
1. Pobieranie instalatora
Ze strony goo.gl/zftSy9 pobrać można klienta do 32- i 64-bitowego systemu Windows, a także paczki do Linuxa. Użytkownicy Mac OS X pobiorą odpowiednią dla swojej edycji systemu wersję oprogramowania Tunnelblich spod adresu goo.gl/qTqeq8.
2. Instalacja klienta
Aby prawidłowo zainstalować wszystkie elementy oprogramowania klienckiego, należy uruchomić program instalacyjny z uprawnieniami administratora. Jeśli z komputera chcemy tylko łączyć się z serwerem, wystarczy potwierdzić standardowy wybór komponentów. Do uruchomienia na komputerze serwera będziemy dodatkowo potrzebować komponentu OpenSSL używanego do generowania kluczy serwera i klientów. Podczas instalacji kreator zapyta, czy chcemy także zainstalować sterowniki wirtualnego interfejsu sieciowego. Tylko jeśli potwierdzimy operację, możliwe
będzie zestawienie połączenia. Aby korzystać z wielu połączeń VPN jednocześnie, będziemy musieli dodać kolejne interfejsy.
3. Kopiowanie profilu
Podobnie jak w przypadku platformy mobilnej, w Windows jako ustawień profilu użyjemy plików wyeksportowanych wcześniej z serwera NAS. Jeśli dokonaliśmy opisanych wcześniej wymaganych zmian w pliku »openvpn.ovpn«, w tym kroku możemy po prostu skopiować konfigurację do katalogu programu. Otwieramy ścieżkę »C:\Program Files\OpenVPN\config« i kopiujemy pliki “.ovpn” i “.cert”. Możemy zmienić nazwę pliku “.ovpn” na bardziej przyjazną, np. “chiptest.myDS.me.ovpn”.
4. Interfejs graficzny
Wraz z klientem OpenVPN instalowany jest OpenVPN GUI – graficzny interfejs programu. Ułatwia on zarządzanie zainstalowanymi profilami. Mając uprawnienia administratora, uruchamiamy plik »openvpn-gui.exe« z folderu »bin«. Prawym przyciskiem myszy klikamy ikonę w Obszarze powiadomień. Z wyświetlonej listy wybieramy interesujące nas połączenie i klikamy »Połącz«.
5. Zestawienie połączenia
W tym kroku zostaniemy poproszeni o podanie nazwy użytkownika i hasła. Następnie na ekranie pojawi się sekwencja komunikatów informujących o zestawieniu połączenia, uwierzytelnianiu i przypisaniu wirtualnemu interfejsowi adresu IP. Po zakończeniu procedury okno statusu zniknie z ekranu, a w Obszarze powiadomień ikona OpenVPN zmieni kolor na zielony.
