Transcription
Configuração de VPN site-to-site e client-tosite com OpenVPN e routerboard MikroTik.Elaborador:Eduardo Mosna Matheus Pissaia de MoraesOrientador:Marcus Vinícius Lahr GiraldiFaculdade de Tecnologia de Americana “Ministro Ralph Biasi”
FICHA CATALOGRÁFICA – Biblioteca Fatec Americana - CEETEPSDados Internacionais de Catalogação-na-fonteM87cMOSNA, EduardoConfiguração de VPN site-to-site e client-to-site com OpenVPN erouterboard MikroTik. / Eduardo Mosna; Matheus Pissaia de Moraes. – Americana,2020.134f.Monografia (Curso Superior de Tecnologia em Segurança da Informação)- - Faculdade de Tecnologia de Americana – Centro Estadual de EducaçãoTecnológica Paula SouzaOrientador: Prof. Esp. Marcus Vinícius Lahr Giraldi1 Rede de computadores 2. VPN – rede de computadores I. MORAES,Matheus Pissaia de II. GIRALDI, Marcus Vinícius Lahr III. Centro Estadual deEducação Tecnológica Paula Souza – Faculdade de Tecnologia de AmericanaCDU: 681.519Faculdade de Tecnologia de Americana “Ministro Ralph Biasi”
EDUARDO MOSNAMATHEUS PISSAIA DE MORAESCONFIGURAÇÃO DE VPN SITE-TO-SITE E SITE-TO-CLIENT COMOPENVPN E ROUTERBOARD MIKROTIKTrabalho de graduação apresentado como exigênciaparcial para obtenção do título de Tecnólogo emSegurançadaInformaçãopeloCEETEPS/Faculdade de Tecnologia – FATEC/Americana.Área de concentração: Segurança da InformaçãoAmericana, 30 de junho de 2020.Banca Examinadora:Marcus Vinícius Lahr Giraldi (Presidente)EspecialistaFatec AmericanaHenri Alves de Godoy (Membro 1)MestreFatec AmericanaDiógenes de Oliveira (Membro 2)MestreFatec AmericanaFaculdade de Tecnologia de Americana “Ministro Ralph Biasi”
SUMÁRIO1Introdução . 102Sobre o cliente . 113Objetivo . 134Revisão de conceitos . 1454.1WAN . 144.2LAN . 154.3Bridge . 154.4Protocolos e portas . 164.5Endereço IP . 164.6DHCP . 174.7DNS . 174.8DDNS . 184.9FIREWALL. 184.10NAT . 194.11DMZ . 194.12VPN . 204.13OpenVPN . 204.14PPP . 20Desenvolvimento . 215.1Localização das empresas . 215.2Projeto físico e lógico . 225.2.1Endereços de IP . 235.2.2Registro no provedor No-IP . 245.2.2.15.2.35.3Liberação no modem da operadora de internet . 26Equipamentos utilizados . 30MikroTik . 305.3.1RouterOS . 305.3.1.1Administração do RouterOS . 315.3.1.2Firewall . 325.3.2RouterBOARD . 345.3.3WinBox . 385.4Redes WAN e LAN . 405.4.1Configuração básica . 415.4.1.1Método de configuração . 425.4.1.2Identificação . 435.4.1.3Usuário administrador. 44Faculdade de Tecnologia de Americana “Ministro Ralph Biasi”
5.55.4.1.4Atualização do sistema . 485.4.1.5Interfaces ethernet . 495.4.1.6Bridge . 515.4.1.7Interfaces da bridge . 525.4.1.8Lista de endereços WAN e Bridge . 535.4.1.9Intervalo de endereços DHCP (Pool) . 545.4.1.10Servidor DHCP . 555.4.1.11Cliente DHCP . 565.4.1.12Endereços de rede . 575.4.1.13DNS. 585.4.1.14Rota padrão. 595.4.1.15Script DDNS . 615.4.1.16Agendador de tarefas . 645.4.1.17Regras de firewall . 655.4.1.18NAT . 675.4.1.19Portas de serviço . 685.4.1.20Lista de serviços IP . 695.4.1.21Testes via terminal . 705.4.1.22Quick Settings (Quick Set) . 715.4.1.23Backup das configurações . 72VPN . 735.5.1Configurações iniciais da VPN . 745.5.1.1Identificação do túnel entre os routerboards . 745.5.1.2Intervalo de endereços DHCP (Pool) . 745.5.1.3Perfil na VPN . 755.5.1.4Credencial (PPP Secrets) . 765.5.1.5Certificados . 775.5.2OpenVPN . 925.5.2.1Configuração do serviço OpenVPN . 935.5.2.2Exportação dos certificados . 945.5.2.3Servidor OpenVPN . 975.5.2.4Interface OpenVPN Client. 995.5.3Aplicativo OpenVPN para acesso remoto . 1025.5.3.1Download do programa . 1035.5.3.2Instalação do programa . 1045.5.3.3Cópia dos certificados do diretório padrão do routerboard . 1135.5.3.4Configuração da conexão . 114Faculdade de Tecnologia de Americana “Ministro Ralph Biasi”
5.5.3.5Teste de conexão OpenVPN . 1176Resultados . 1207Conclusões e considerações finais. 130REFERÊNCIAS BIBLIOGRÁFICAS: . 132Faculdade de Tecnologia de Americana “Ministro Ralph Biasi”
Lista de figurasFigura 1. Logotipo da empresa Quatro Cambalhotas . 11Figura 2. Infraestrutura de T.I. Quatro Cambalhotas . 13Figura 3. Adição dos routerboards nas redes locais . 21Figura 4. Distância entre as empresas . 22Figura 5. Topologia da rede do cliente . 23Figura 6. Exemplo de consulta ao serviço DDNS. 25Figura 7. Teste ping para o DDNS da matriz . 26Figura 8. Teste ping para o DDNS da filial . 26Figura 9. Interface web do modem da operadora. 27Figura 10. Configuração do DDNS no modem da operadora . 28Figura 11. Configuração da DMZ no modem da operadora . 29Figura 12. Configuração do Redirecionar Portas no modem operadora . 29Figura 13. Alerta de segurança do firewall do Windows . 32Figura 14. Regras de firewall padrão na versão 6.47 . 33Figura 15. RouterBOARD MikroTik hEX RB750Gr3 . 36Figura 16. Janela de conexão do WinBox . 38Figura 17. Sessão de usuário no WinBox . 39Figura 18. Aviso de configuração padrão do RouterOS . 40Figura 19. Designação das interfaces em WAN e LAN do routerboard . 41Figura 20. Conexão local entre notebook e routerboard . 42Figura 21. Configuração manual do endereço IP no adaptador de rede . 43Figura 22. Identificação do routerboard. 44Figura 23. Gestão de usuários – Alteração de senha . 45Figura 24. Adição de novo usuário. 46Figura 25. Menu de desconexão de sessão. 47Figura 26. Gestão de usuários – Processo de desabilitação . 48Figura 27. Checagem de atualizações para o RouterOS . 49Figura 28. Nomeação de interface ethernet . 50Figura 29. Gestão da lista de interfaces . 51Figura 30. Adição de interface bridge . 52Figura 31. Administração de portas na bridge . 53Figura 32. Lista de endereços de rede . 54Figura 33. IP Pool - Intervalo de endereços IP para o DHCP . 55Figura 34. Adição do servidor DHCP . 56Figura 35. Endereço do cliente DHCP . 57Figura 36. Adição dos endereços de rede para DHCP. 58Faculdade de Tecnologia de Americana “Ministro Ralph Biasi”
Figura 37. Configurações em DNS . 59Figura 38. Adição de nova rota padrão . 60Figura 39. Gerenciamento da lista de rotas . 61Figura 40. Adição de novo script . 62Figura 41. Parte do código do script DDNS . 62Figura 42. Código do script para DDNS via No-IP . 63Figura 43. Adição de nova tarefa no agendador . 64Figura 44. Inserção de regra de Firewall via ferramenta New Terminal . 65Figura 45. Regras de Firewall para tratamento de conexões . 66Figura 46. Inserção de regras de Firewall via ferramenta New Terminal . 66Figura 47. Adição de regra de Firewall . 67Figura 48. Adição de regra de NAT. 68Figura 49. Portas de serviço – Processo de desabilitação . 69Figura 50. Lista de serviços IP – Processo de desabilitação . 70Figura 51. Ferramenta New Terminal . 71Figura 52. Assistente de configuração rápido . 72Figura 53. Backup das configurações no RouterOS . 73Figura 54. Conexão VPN . 74Figura 55. IP Pool - Intervalo de endereços IP para VPN . 75Figura 56. Gerenciamento de perfil PPP . 76Figura 57. Gerenciamento de usuários VPN . 77Figura 58. Certificado CA – General . 79Figura 59. Certificado CA – Key Usage . 80Figura 60. Assinando o certificado CA . 81Figura 61. Certificado SERVER – General. 83Figura 62. Certificado SERVER – Key Usage . 84Figura 63. Assinando o certificado SERVER . 85Figura 64. Confiabilidade do certificado SERVER . 86Figura 65. Certificado CLIENT – General. 88Figura 66. Certificado CLIENT – Key Usage . 89Figura 67. Assinando o certificado CLIENT . 90Figura 68. Confiabilidade do certificado CLIENT . 91Figura 69. Certificados CA, SERVER e CLIENT . 92Figura 70. Visão geral do teste ping entre os equipamentos . 94Figura 71. Exportando o certificado CA . 95Figura 72. Senha de exportação do certificado . 96Figura 73. Repositório de arquivos File List . 97Faculdade de Tecnologia de Americana “Ministro Ralph Biasi”
Figura 74. Serviços disponíveis em PPP . 98Figura 75. Habilitando o servidor OpenVPN . 99Figura 76. Interface OpenVPN Client – General . 100Figura 77. Interface OpenVPN Client – Dial Out . 101Figura 78. Conexão ativa do túnel filial-matriz. 102Figura 79. Página oficial da Comunidade OpenVPN . 103Figura 80. Área de downloads na página oficial do OpenVPN . 104Figura 81. Execução de arquivo em modo administrador . 105Figura 82. Controle de Conta de usuário . 105Figura 83. Instalação do OpenVPN client – Passo 01 . 106Figura 84. Instalação do OpenVPN client – Passo 02 . 107Figura 85. Instalação do OpenVPN client – Passo 03 . 108Figura 86. Instalação do OpenVPN client – Passo 04 . 109Figura 87. Instalação do OpenVPN client – Passo 05 . 110Figura 88. Instalação do OpenVPN client – Passo 06 . 110Figura 89. Instalação do OpenVPN client – Passo 07 . 111Figura 90. Instalação do OpenVPN client – Passo 08 . 112Figura 91. Conteúdo do arquivo README.txt . 112Figura 92. Diretório de arquivos do routerboard – File List . 113Figura 93. Lista de certificados copiados do routerboard . 113Figura 94. Local de instalação da pasta Config. 114Figura 95. Certificados adicionados na pasta Config . 114Figura 96. Arquivo modelo para configuração da conexão OpenVPN. 115Figura 97. Arquivo de conexão OpenVPN . 115Figura 98. Aviso de permissão de acesso à pasta Config . 116Figura 99. Diretório de configuração do OpenVPN . 116Figura 100. Atalho do aplicativo OpenVPN . 117Figura 101. Ícone OpenVPN na área de notificação . 117Figura 102. Método de conexão do OpenVPN . 118Figura 103. Janela de autenticação do OpenVPN . 118Figura 104. Progresso da conexão OpenVPN . 119Figura 105. Resultado da conexão OpenVPN. 119Figura 106. Status de conexão OpenVPN . 120Figura 107. Teste Ping entre servidor de arquivos e notebook da filial . 121Figura 108. Teste Ping entre notebook da filial e servidor de arquivos . 122Figura 109. Mapeamento do diretório compartilhado no servidor . 123Figura 110. Teste Ping entre notebook da filial e notebook da matriz . 124Faculdade de Tecnologia de Americana “Ministro Ralph Biasi”
Figura 111. Ferramenta New Terminal no routerboard da matriz . 125Figura 112. Ferramenta New Terminal no routerboard da filial . 126Figura 113. Acesso ao diretório FOTOS FESTAS . 127Figura 114. Carta de agradecimento do cliente. 129Lista de tabelasTabela 1. Lista de endereços IP – Matriz e Filial . 23Tabela 2. Regras de firewall padrão na versão 6.47 . 34Tabela 3. Especificações técnicas do routerboard . 37Tabela 4. Lista de rotas padrão . 60Tabela 5. Hostnames e endereços IP para o túnel VPN . 74Tabela 6. Valores para o certificado CA . 78Tabela 7. Valores para o certificado SERVER . 82Tabela 8. Valores para o certificado CLIENT . 87Tabela 9. Inventário atualizado dos equipamentos da QC . 120Faculdade de Tecnologia de Americana “Ministro Ralph Biasi”
101IntroduçãoTodos os dias, milhares de empresas passam por processo de expansão emsua infraestrutura interna, podendo este ser definitivo ou até mesmo provisório. Esseprocesso pode incluir remanejamento interno do layout dos departamentos, criaçãode novos espaços, ampliação física do prédio local ou até mesmo extensão de suaestrutura para outro local, ou seja, um novo ponto físico, em diferente endereço,podendo este ser na mesma cidade de atuação ou até em outra cidade, estado oupaís. Para que tal processo alcance o êxito, um projeto deve ser bem elaborado,aprovado, acompanhado e devidamente executado.Sendo assim, toda a infraestrutura de tecnologia da informação (T.I.), física elógica, deve ser planejada, para que, independentemente do local onde o funcionárioestiver alocado, ele consiga acessar as informações necessárias para que possaentregar suas atividades diárias, sem nenhum impacto ou outro tipo de preocupação.E para que isso aconteça de maneira transparente ao funcionário, é comum asempresas recorrerem à tecnologia para encurtar tais distâncias, visto que na maioriados casos não é possível ou tão simples de resolver apenas com a instalação de umcabo de comunicação, sendo este um cabo ethernet ou uma fibra ótica, para conectaras duas pontas em questão.Tal solução pode não ser adotada devido há vários outros fatores, tais como: adistância entre os locais ser muito longa; o custo com essa interconexão ser altodemais; o tempo de execução e instalação não atender ao prazo de início dasatividades; ou até mesmo, se a necessidade for para um período provisório, oinvestimento tornar-se um desperdício de recursos em poucos dias.A devida solução deve ser projetada levando em consideração todos osaspectos do cenário atual do cliente, inclusive o valor do investimento que serádisponibilizado para atender a situação e a disposição geográfica dos locais,facilitando assim a decisão pelo melhor projeto. Este, por sua vez, deve descreverqual é a infraestrutura física e logica que será utilizado para prover a solução e atendera expectativa do cliente.Conforme o contexto descrito, a empresa que trabalhamos, a E&M Soluções eConsultoria em Tecnologia da Informação, foi contratada pela Quatro Cambalhotas,empresa de papelaria criativa e personalizados para eventos, festas e buffets, comsede em Santa Bárbara d’Oeste (SBO) e com expansão em Americana (AMR), paraelaborar um projeto que interligue, com tecnologia da informação, seu ateliê deFaculdade de Tecnologia de Americana “Ministro Ralph Biasi”
11criação, situado em SBO (na Rua do Césio, número 1270, bairro Vila Mollon IV) comseu salão de festas, recém locado, em AMR (na Av. Armando Sales de Oliveira,número 485 e no bairro Jardim Ipiranga), cidades vizinhas e ambas no estado de SãoPaulo.O projeto decidido pelo cliente foi relatado, tecnicamente, neste documento ealgumas das informações (endereços IP, usuários e senhas), por caráter desegurança, foram substituídas ou ocultadas, quando citadas nos menus e itens deconfiguração dos equipamentos que foram utilizados.2Sobre o clienteNosso cliente, a Quatro Cambalhotas, uma empresa relativamente jovem,fundada em 2018, iniciou atividade com uma infraestrutura de T.I. do tipo doméstica,instalada em um cômodo, na residência de um dos sócios, em Americana/SP. A partirde um notebook, uma impressora laserjet colorida, uma impressora plotter de recorte,muita criatividade e disposição por parte dos sócios, a empresa conquistou clientes,ganhou espaço no mercado e cresceu. Esse último fator – crescimento – fez com queos sócios procurassem um novo local para instalar a sede da empresa e foi em SantaBárbara d’Oeste/SP, numa simples casa de bairro, que o ateliê de criação da QuatroCambalhotas nasceu.A Figura 1 ilustra o logotipo da empresa Quatro Cambalhotas.Figura 1. Logotipo da empresa Quatro CambalhotasFonte: Os autoresFaculdade de Tecnologia de Americana “Ministro Ralph Biasi”
12Ainda com uma infraestrutura de T.I. muito simples, mas com a preocupaçãode tornar o ambiente mais profissional, confiável e seguro, os empresários investiramem tecnologia para melhorar a rede de dados do local. Dentre as aquisições,contrataram um provedor ISP1, instalaram um servidor de arquivos e mais uma ilha decriação, composta por um desktop e duas impressoras plotters de recorte.Com pouco tempo no mercado, a empresa firmou-se e os empresários, Juniore Vinícius, tiveram a ideia de explorar um novo segmento, dentro do contexto do ramode atuação, e em um imóvel em Americana/SP, o salão de festas e buffet infantilsurgiu.Acompanhado ao novo negócio, a necessidade de criar uma rede de dados,para que o atendimento ao cliente pudesse ocorrer, foi providenciada no local.Contrataram um provedor ISP e o instalaram no escritório do salão, proporcionandoassim a utilização da internet para o notebook do sócio Vinícius, diretor comercial daQuatro Cambalhotas.Com o passar dos dias, o empresário percebeu o tempo desperdiçadocopiando, do servido
Faculdade de Tecnologia de Americana "Ministro Ralph Biasi" EDUARDO MOSNA MATHEUS PISSAIA DE MORAES CONFIGURAÇÃO DE VPN SITE-TO-SITE E SITE-TO-CLIENT COM
