Dokumentáció/SL9.3/Adminisztráció/Linux-rendszerek biztonsága

A Wikipediából, a szabad enciklopédiából.

Tartalomjegyzék 1 Bevezetés 2 X.509 tanúsítványok kezelése YaST-al 2.1 A digitális tanúsítványok alapjai 2.1.1 Kulcshitelesség 2.1.2 X.509 tanúsítványok 2.1.3 X.509 tanúsítványok letiltása 2.1.4 A tanúsítványok és CRL-ek tárolása 2.1.5 Saját PKI 2.2 YaST CA felügyeleti modulok 2.2.1 Root CA készítése 2.2.2 Alárendelt CA készítése és visszavonása 2.2.3 Felhasználói tanúsítványok készítése és visszavonása 2.2.4 Alapértelmezett adatok megváltoztatása 2.2.5 CRL lista készítése 2.2.6 CA objektumok exportálása LDAP protokollon keresztül 2.2.7 CA objektumok exportálása fájlba 2.2.8 Tanúsítványok exportálása hajlékonylemezre 2.2.9 Általános kiszolgálótanúsítványok importálása 3 VPN SUSE LINUX-al 3.1 Road Warrior (utcai harcos) kiszolgálók beállítása 3.1.1 Kiszolgálótanúsítvány készítése 3.1.2 A kiszolgálótanúsítvány importálása 3.1.3 VPN kapcsolat beállítása 3.2 VPN kliens beállítása Linuxon FreeS/WAN kiszolgálóhoz 3.2.1 Klienstanúsítvány készítése 3.2.2 A FreeS/WAN konfigurációs állomány exportálása 3.2.3 Állományok importálása a kliensen 3.2.4 Manuális klienskonfiguráció 3.3 IPsec kliensek Windows XP és Windows 2000 környezetben 3.3.1 Klienstanúsítvány készítése 3.3.2 A Windows konfigurációs állomány exportálása 3.3.3 A Windows előkészítése 3.3.4 A szükséges bővítőmodulok konfigurálása 3.3.5 Klienstanúsítvány importálása 3.3.6 A tanúsítvány fontos adatainak feljegyzése 3.3.7 IPsec kapcsolat beállítása 3.3.8 Parancsikon készítése 3.3.9 A kapcsolat lezárása 4 Álcázás és tűzfalak 4.1 Csomagszűrés iptables segítségével 4.2 Álcázás – alapok 4.3 Tűzfalak – alapok 4.4 SuSEfirewall2 4.4.1 Beállítás a YaST segítségével 4.4.2 Kézi beállítás 4.5 További információ 5 SSH: Biztonságos hálózati műveletek 5.1 Az OpenSSH csomag 5.2 Az ssh program 5.3 scp – Secure Copy (biztonságos másolás) 5.4 sftp – Secure File Transfer (biztonságos fájlátvitel) 5.5 Az SSH démon (sshd) – szerveroldal 5.6 SSH: hitelesítési mechanizmusok 5.7 X hitelesítési és továbbítási mechanizmusok 6 Hálózati hitelesítés – Kerberos 6.1 A Kerberos fogalomtára 6.2 Hogyan működik a Kerberos? 6.3 A Kerberos felhasználói szemmel 6.4 További információ 7 A Kerberos telepítése és felügyelete 7.1 A Kerberos tartomány (realm) kiválasztása 7.2 A KDC hardver beállítása 7.3 Időszinkronizáció 7.4 Naplózási beállítások 7.5 A KDC beállítása 7.5.1 Az RPM fájlok telepítése 7.5.2 A Mesterkulcs (Master Key) megadása 7.5.3 Tartomány (realm) készítése 7.5.4 alany készítése 7.5.5 A KDC indítása 7.6 A Kerberos kliensek beállítása 7.6.1 Statikus beállítás 7.6.2 DNS alapú konfiguráció 7.6.3 Az időelcsúszás (clock skew) beállítása 7.6.4 A Kerberos kliens konfigurálása YaST segítségével 7.7 Távoli Kerberos-felügyelet 7.7.1 A kadmin használata távoli adminisztrációhoz 7.8 Kerberos számítógép alany készítése 7.9 Kerberos PAM támogatás bekapcsolása 7.10 SSH beállítása Kerberos hitelesítéshez 7.11 Kerberos és LDAP használata 7.11.1 Kerberos hitelesítés használata LDAP protokollal 7.11.2 Kerberos hitelesítés és LDAP hozzáférés-vezérlés 8 Partíciók és fájlok titkosítása 8.1 Alkalmazás-példahelyzetek 8.2 Crypto fájlrendszer beállítása a YaST segítségével 8.2.1 Titkosított partíció létrehozása a telepítés közben 8.2.2 Titkosított partíció létrehozása egy futó rendszeren 8.2.3 Titkosított fájlok telepítése 8.2.4 Fájlok titkosítása a vi segítségével 8.3 Cserélhető adathordozók tartalmának titkosítása 9 Biztonság és megbízhatóság 9.1 Helyi és hálózati biztonság 9.1.1 Helyi biztonság 9.1.2 Jelszavak 9.1.3 A rendszerindítási folyamat 9.1.4 Fájljogosultságok 9.1.5 Puffertúlcsordulások és formátum-karaktersorozat hibák 9.1.6 Vírusok 9.1.7 Hálózati biztonság 9.1.8 X Window rendszer és X hitelesítés 9.1.9 Puffertúlcsordulások és formátum-karaktersorozat hibák 9.1.10 DoS – szolgáltatás megbénítása (Denial of Service) 9.1.11 Köztes támadások: lehallgatás, eltérítés, hamisítás 9.1.12 DNS-hamisítás 9.1.13 Férgek 9.2 Néhány általános biztonsági tipp és trükk 9.3 Központi biztonsági bejelentési cím

Bevezetés

Egy tanúsítványkezelő hatóság (certification authority, CA) létrehozása után titkosítható a kommunikáció az egész hálózaton, olyan technikákkal, mint például a virtuális magánhálózatok (virtual private network, VPN). Más mechanizmusok, például a forgalom elfedése (masquerading), a tűzfalak (firewall), illetve a Kerberos, szintén használhatók az adatcsere és az általános adatforgalom szabályozására. A Secure Shell (biztonságos parancsértelmező, SSH) protokoll segítségével titkosított kapcsolaton lehet bejelentkezni távoli gépekre. A szigorúan műszaki utasítások mellett a fejezet szól a Linux alapú hálózatok általánosabb biztonsági megfontolásairól is.

Az elfedés (masquerading) és a tűzfal (firewall) szabályozzák az adatfolyamot és az adatcserét. A Secure Shell (biztonságos parancsértelmező, SSH) protokoll segítségével titkosított kapcsolaton lehet bejelentkezni távoli gépekre. A fájlok, vagy akár teljes merevlemez-partíciók titkosításával védhetők az adatok még akkor is, ha egy nemkívánatos személy hozzáfér a fájlrendszerhez. A szigorúan műszaki utasításokon túl az utolsó szakasz a Linux alapú hálózatok biztonsági megfontolásait tárgyalja.

X.509 tanúsítványok kezelése YaST-al

Egyre több hitelesítési eljárás alapul titkosítási eljárásokon. Ezért fontos szerepet játszanak azok a digitális tanúsítványok, amelyek a titkosítási kulcsokat a tulajdonosaikhoz rendelik. Ilyen tanúsítványok nem csak a kommunikációban használatosak, de megtalálhatók például vállalati beléptetőkártyákon is. A tanúsítványok készítését és felügyeletét általában »hivatalos« cégek látják el, amelyek ezt kereskedelmi szolgáltatás keretében végzik. Különböző esetekben azonban felmerülhet az igény, hogy ön saját maga vegye át ezt a feladatot, például, ha a cég nem akarja kívülállóknak kiadni a személyes adatokat.

A SUSE LINUX két YaST modult kínál erre a célra, amelyek alapvető felügyeleti funkciókat nyújtanak a digitális X.509 tanúsítványokhoz. A következő részekben betekintést nyújtunk a digitális tanúsítványok alapjaiba, és elmagyarázzuk, hogyan tudja a YaST segítségével elkészíteni és felügyelni tanúsítványait. Azonban a digitális tanúsítványok témaköre rendkívül összetett, ezért az alábbi leírás csak egy áttekintést nyújt. További információ:: http://www.ietf.org/html.charters/pkix-charter.html

A digitális tanúsítványok alapjai

A digitális tanúsítványok titkosítási folyamatokat használnak azon adatok titkosításához, amelyeket védeni kell az illetéktelen hozzáféréstől. A felhasználó adatai egy másodlagos adatbejegyzéssel, vagy más néven kulccsal kerülnek titkosításra. A kulcs matematikai úton előállított adattal titkosítja a felhasználó adatait, így az eredeti tartalom nem ismerhető fel. Napjainkban általában az aszimmetrikus titkosítást alkalmazzák (nyilvános kulcs alapú titkosítás). A kulcsok mindig párban állnak:

Privát kulcs

A privát kulcsot tulajdonosának biztonságos helyen kell tárolnia. Véletlen nyilvánosságra kerülése veszélyezteti a kulcspárt, és ezzel használhatatlanná teszi azt.

nyilvános kulcs

A nyilvános kulcsot tulajdonosa nyilvánosságra hozza.

Kulcshitelesség

Mivel a nyilvános kulcs eljárás széles körben elterjedt, számos nyilvános kulcs elérhető. A rendszer sikeres használatához elengedhetetlen, hogy a nyilvános kulcs biztosan a kijelölt felhasználóé legyen. A felhasználók és a nyilvános kulcsok egymáshoz rendelését hitelesítő szervezetek igazolják a nyilvánoskulcs-tanúsítás által. A tanúsítványok tartalmazzák a tulajdonos nevét, a megfelelő nyilvános kulcsot és a kibocsájtó elektronikus aláírását. A hitelesítő szervezetek általában egy tanúsító infrastruktúrához tartoznak, amely a tanúsítványok kibocsájtása, aláírása mellett egyéb tanúsítványfelügyeleti feladatokat is ellátnak. Ezek magukba foglalják a tanúsítványok publikálását, visszavonását és megújítását is. Az ilyen infrastruktúrát általábannyilvános kulcsú infrastruktúrának vagy PKI-nak nevezik. Közismert PKI-szabvány az OpenPGP, amelyben a felhasználók teszik közzé saját tanúsítványukat központi hitelesítés nélkül. Ezek a tanúsítványok akkor válnak hitelessé, ha a »bizalmi hálózathoz« (web of trust) tartozó külső hitelesítő aláírja őket.

A hierarchikusan szervezett X.509 nyilvános kulcsú infrastruktúra (PKIX) egy másik lehetséges modell, amelyet az IETF (Internet Engineering Task Force) szervezet határozott meg. Ez a mintája majdnem minden nyilvánosan használt PKI-nek. Ebben a modellben a hitelesítés hierarchikus fastruktúrában történik a tanúsítványhatóság (CA) által. A fa gyökerét a root CA jelenti, amely hitelesíti az összes alsóbb rendű CA-t, amelyek hitelesítik az alattuk levőket, mígnem a legalsó szintű kiállítja a tanúsítványokat. A felhasználói tanúsítvány akkor válik megbízhatóvá, ha egy hiteles CA írta alá. E megoldás hitelesítési láncolatának a végén a root CA áll.

Az ilyen PKI megoldások biztonsága a tanúsítányok hitelességén áll vagy bukik. Annak érdekében, hogy a tanúsítványkibocsátás zavartalan legyen, a PKI operátor meghatároz egy tanúsítványalkalmazási nyilatkozatot (certificate practice statement - CPS), amelyben meghatározza a tanúsítványkezelés folyamatát. Ezzel biztosítható, hogy a PKI kizárólag megbízható tanúsítványokat állítson elő.

X.509 tanúsítványok

Egy X.509 tanúsítvány számos állandó mezővel és opcionális kiegészítésekkel rendelkező adatstruktúra. A fix mezők tartalmazzák a tulajdonos nevét, a nyilvános kulcsot és a kibocsátó CA adatait (nevét és aláírását). Biztonsági okokból a tanúsítványok csak meghatározott ideig érvényesek, tehát egy dátummező is található bennük. A CA garantálja a tanúsítvány érvényességét a megadott időszakra. A CPS általában kiköti, hogy a PKI (illetve konkrétan a CA) a lejárati határidő előtt készítsen és küldjön szét új tanúsítványt.

A kiegészítések bármiféle járulékos információt tartalmazhatnak. Az alkalmazásnak nem kell figyelembe vennie a kiegészítéseket, hacsak nincs kritikusként megjelölve. Ha egy alkalmazás egy kritikus kiegészítést nem ismer fel, el kell utasítania a tanúsítványt. Egyes kiegészítések a tanúsítvány használatát néhány alkalmazásra, például aláírásra vagy titkosításra korlátozhatják.

X.509v3 tanúsítvány ismerteti az X.509 tanúsítvány 3-as változatának alapelveit.

Táblázat: X.509v3 tanúsítvány

Mező	Tartalom
Verzió	A tanúsítvány verziója - például "v3"
Sorozatszám	Egyedi tanúsítványazonosító (egész szám)
Aláírás	A tanúsítvány aláírásához az algoritmus azonosítója használható.
Kiállító	A kiállító hatóság (CA) egyedi neve (DN)
Érvényesség	Az érvényesség időtartama (tól...ig)
Cím	A tulajdonos egyedi neve (DN)
A nyilvános kulcs	A tulajdonos nyilvános kulcsa és az algoritmus azonosítója
A kiálító egyedi azonosítója (Unique ID)	A kiállító CA egyedi azonosítója (opcionális)
A tulajdonos egyedi azonosítója	A tulajdonos egyedi azonosítója (Unique ID) - opcionális
Kiegészítések	Egyéb opcionális információ, például »Kulcshasználat«, »Kikötések« stb.

X.509 tanúsítványok letiltása

Ha egy tanúsítvány az érvényességi időn belül megbízhatatlanná válik, azonnal le kell tiltani. Ez szükséges lehet például olyan esetben, amikor a privát kulcs nyilvánosságra került. Különösen akkor, ha a privát kulcs a CA-hoz tartozik, és nem egy felhasználói tanúsítványhoz. Ebben az esetben az összes felhasználói tanúsítványt, amelyet a CA kiállított, azonnal le kell tiltani. Amennyiben egy tanúsítvány letiltásra került, a PKI-nak (illetve a felelős CA-nak) azonnal értesítenie kell a használókat. Az ehhez használt eszköz a tanúsítvány-visszavonási lista (certificate revocation list - CRL).

Ezt a listát a CA készíti a CRL elosztási helye (a CDP-k) számára megadott időnként. A CDP opcionális attribútumként felvehető egy tanúsítványba, így a használó ellenőrizheti a tanúsítvány hitelességét, valamint, hogy nem került-e visszavonásra. Egy lehetséges megoldás az ellenőrzésre azonline tanúsítványstátusz protokoll (online certificate status protocol - OCSP). A CRL listák hitelességét a kibocsájtó CA aláírása szavatolja.X.509 visszavonási lista (CRL) ismerteti az X.509 CRL alapjait

Táblázat: X.509 visszavonási lista (CRL)

Mező	Tartalom
Verzió	A CRL verziója (pl. v4.2)
Aláírás	A CLR aláírásához használt algoritmus azonosítója (ID)
Kiállító	A CRL lista kibocsájtójának (általában a CA-nak) egyedi neve (DN)
Frissítés ideje	A CRL publikációjának ideje (dátum és idő)
Következő frissítés	A következő CRL frissítés ideje (dátum és idő)
A visszavont tanúsítványok listája	Minden bejegyzés tartalmazza a tanúsítvány sorozatszámát, a visszavonás idejét és az opcionális kiegészítéseket.
Kiegészítések	Egyéb CRL kiegészítések

A tanúsítványok és CRL-ek tárolása

Használatukhoz a tanúsítványoknak és a CRL listáknak nyilvánosan elérhetőknek kell lenniük. Ez tárolót (repository) igényel. Mivel a tanúsítványok és a CRL-ek nem hamisíthatók, az aláírásoknak köszönhetően a tárolót nem szükséges különösen védeni. Ellenkezőleg, a lehető legegyszerűbb és leggyorsabb elérés biztosítása a cél. Ezért a tanúsítványok általában LDAP vagy HTTP kiszolgálókon keresztül érhetők el. Bővebb információ:LDAP – címtárszolgáltatás mindenkinek. A Az Apache webszerver a HTTP kiszolgálóról tartalmaz információkat.

Saját PKI

A YaST tartalmazza az alapvető eszközöket az X.509 tanúsítványok kezeléséhez. Ez főként a CA-k, alárendelt CA-k és tanúsítványaik készítését foglalja magába. Itt kell megjegyezni, hogy a PKI szolgálatásai messze túlmutatnak a tanúsítványok és CRL-ek készítésén és terjesztésén. Egy PKI üzemeltetéséhez komoly, átgondolt adminisztrációs infrastruktúra szükséges. A tanúsítványok és CRL-ek folyamatos frissítése igen komplex felügyeletet igényel, amit a kereskedelmi PKI termékek biztosítanak és részben automatizálnak. A YaST jelenleg nem képes ezeket a háttérinformációkat biztosítani a tanúsítvány és CA kezelésekor, készítésekor. Általában a nyílt forráskódú PKI termékek kisebb tudásúak a kereskedelmi változatokénál. »Kisméretű« PKI felállításához használhatja a YaST modulokat az alábbiakban leírtak szerint. Azonban egy»hivatalos«megoldáshoz kereskedelmi verzió szükséges: —vagy akár a kereskedelmi —PKI.

YaST CA felügyeleti modulok

A YaST két modult biztosít az alapvető CA felügyelet ellátására. A két modul funkcióját az alábbiakban tárgyaljuk fő funkciójuk szerint.

Root CA készítése

PKI készítéséhez az első lépés mindig a root CA elkészítése. Ez a YaST vezérlőközpontban a Felhasználók és biztonság → CA kezelés menüpontból érhető el. Miután a modul elindult, látható a már meglévő CA-k listája. A Root CA készítése megnyitja az első három párbeszédablakot, ahol beírhatjuk a CA készítéséhez szükséges információkat.

Adja meg a CA készítéséhez szükséges alapadatokat az első párbeszédablakban, az alábbiak szerintYaST CA modul—Alapadatok a Root CA készítéséhez. Az Általános név mezőben adja meg a nevet, amellyel a CA-ra hivatkozik. CA neve mezőben kell megadnia a CA hivatalos nevét. Több más dolog mellett például a könyvtárnevek ebből a névből származnak, ezért kizárólag a súgóban meghatározott karakterek használhatók. Ez a név jelenik meg az összefoglalóban is, amikor a modul elindul. Több elektronikus levélcím is megadható, amelyeket a CA felhasználói láthatnak. Ez hasznos lehet az érdeklődőknek. Adja meg az országot, ahol a CA üzemel: Ország.

A Következőgombra kattintás után adja meg a jelszót a második párbeszédablakban.Ez a jelszó mindig szükséges a CA használatakor – alárendelt CA és tanúsítvány készítéséhez. A Kulcshosszalapértelmezésként tartalmaz egy használható értéket, amelynek megváltoztatása nem feltétlenül szükséges, kivéve, ha egy alkalmazás nem tudja kezelni ezt a kulcsméretet. Az Érvényesség ideje CA esetén 3650 nap (körülbelül 10 év). Ez a hosszú időtartam érthető, hiszen egy CA lecserlése, törlése számos adminisztrációs ráfordítást igényel. A Kiterjesztések gombot választva egy párbeszédablak jelenik meg, ahol az X.509 attribútumkiterjesztések adhatók meg (YaST CA modul – bővítések beállítása). Ezek az értékek megfelelő alapértékeket tartalmaznak, és csak akkor változtassa meg, ha valóban tudja, mit kell beállítani.

A harmadik és egyben utolsó lépésként a YaST ismerteti a jelenlegi beállításokat, és megerősítést vár. A Készítkiválasztásakor a root CA elkészül, és megjelenik az áttekintésben:

Alárendelt CA készítése és visszavonása

Az alárendelt CA-t ugyanúgy készítjük, mint a root CA-t, azzal a különbséggel, hogy először ki kell választani a CA-t, amely tartalmazza az alárendelt CA-t. Miután a program elindult, válassza a szükséges CA-t a listából, és nyomja meg a CA megadása gombot. Ha ez az első alkalom, amikor a CA kezelést használja, adja meg a jelszót, ami után eljuthat a párbeszédablakhoz, ahol a CA kulcsinformációi megjelennek. (YaST CA modul - a CA használata). Válassza a Bővítések..., alárendelt CA készítéseopciót. Ez ugyanazt a párbeszédablakot nyitja meg, mint a root CA készítésekor.

Miután kiválasztotta a tanúsítványokat, lépjen át a párbeszédablakba, amelyben a CA-tanúsítványokat és alárendelt CA-kat kezelheti. Kapcsolja ki a nem kívánt (vagy veszélyeztetett) alárendelt CA-kat a Visszavonák gombbal. A visszavonás azonban nem elég az alárendelt CA kikapcsolásához. A CRL-be szintén publikálni kell a kikapcsolt alárendelt CA-t. A CRL készítési folyamatának leírása: CRL lista készítése.

Felhasználói tanúsítványok készítése és visszavonása

Kliens- és kiszolgálótanúsítványok készítéséhez először adja meg a CA-t (Alárendelt CA készítése és visszavonása). A felhasználói tanúsítványokat lehetőség szerint mindig az alárendelt CA-n készítsük, hogy a root CA-t biztonságban tudhassuk. A Tanúsítványok... kiválasztása után megjelenik a tanúsítványok adminisztrálásához szükséges párbeszédablak: A CA tanúsítványai. A felső rész tartalmazza a már meglevő tanúsítványokat, míg a kiválasztott tanúsítványokra vonatkozó adatok alul láthatók.

A Hozzáadás segítségével új kliens- és kiszolgálótanúsítványokat készíthetünk, adhatunk hozzá a CA listájához. Az adatok rögzítése igen hasonló a CA készítéséhez, és ugyanazok a szabályok érvényesek a tanúsítványokra is. Az elektronikus levélcím különösen fontos azon tanúsítványok esetén, amelyek elektronikus levelek aláírására, titkosítására készülnek. Aláírás esetén a tanúsítványnak tartalmaznia kell a küldő (a privát kulcs tulajdonosa) elektronikus levélcímét, hogy a megfelelő tanúsítvány a levelezőprogramban hozzárendelhető legyen. Titkosításhoz használt tanúsítvány hozzárendelésénél a fogadó (a nyilvános kulcs tulajdonosa) elektronikus levélcímét kell elhelyezni a tanúsítványban. Kiszolgálótanúsítványok esetén ezenfelül meg kell adni a kiszolgáló nevét az Általános név mezőben. A tanúsítványok alapértelmezett érvényessége 365 nap.

A Visszavonás szolgál a nem szükséges vagy veszélyeztetett tanúsítványok törlésére. A visszavonás azonban nem elegendő a tanúsítványok kiiktatásához. A visszavont tanúsítványokat meg kell hirdetni a CRL segítségével. A CRL készítésének leírása a CRL lista készítése részben található. A visszavont tanúsítványok a CRL-ben történő közzététel utántörölhetőkteljesen.

Alapértelmezett adatok megváltoztatása

Az előző részben ismertettük, hogyan tud alárendelt CA-t, kliens- és kiszolgálótanúsítványokat készíteni. Speciális beállítások használata szükséges az X.509 tanúsítványok kiterjesztéseinek használatához. Ezek a kiterjesztések előre definiált értékekekkel rendelkeznek minden tanúsítványtípusra, és normál körülmények között ezek módosítása nem szükséges. Néhány speciális alkalmazás azonban igényelheti ezek módosítását. Amennyiben ilyen alkalmazások részére gyakran készít tanúsítványokat, érdemes az alapértelmezett értékeket átállítani, különben minden egyes tanúsítványnál külön kell módosítani ezeket.

A rendszer több alapértelmezett beállítást tartalmaz minden CA, alárendelt CA, kliens- és kiszolgálótanúsítvány készítéséhez. Az alapértékek megváltoztatásához adja meg a kívánt CA-t az alábbiak szerint:Alárendelt CA készítése és visszavonása. Miután kiválasztotta a bővítésekmenüpontot, itt megtalálja az alapértelmezett beállítások opciót, ahol kiválaszthatja, melyik értéket kívánja módosítani. Ezek után megjelenik az alapértékeket tartalmazó párbeszédablak:YaST CA modul – bővítések beállítása.

A rendszer által ismert bővítések fastruktúrája a képernyő bal oldalán tekinthető meg. Ha kiválaszt egy mezőt, a hozzá tartozó érték megjelenik a jobboldalon, ahol beállíthatja vagy törölheti az értéket, majd törölje ki a »kritikus« jelölést. A Következő gomb lenyomása után megtekinthet egy rövid összefoglalót és elmentheti a beállításokat a Mentésgombbal.

CRL lista készítése

Nem elég a veszélyeztetett vagy megbízhatatlanná vált tanúsítványokat törölni, vissza is kell vonni őket. Az alábbi leírások ismertetik a folyamatot: Alárendelt CA készítése és visszavonása (alárendelt CA) ésFelhasználói tanúsítványok készítése és visszavonása (felhasználói tanúsítványok). Ezek után a CRL-t el kell készíteni és az információkat közzé kell tenni.

A rendszer minden CA-hoz precízen nyilvántart egy CRL-t. A CRL készítéséhez, frissítéséhez válassza ki a CA-t (Alárendelt CA készítése és visszavonása) és kattintson a CRL gombra. A következő párbeszédablakban a CA utolsó CRL-jéről készült összefoglalóját tekintheti meg. Amennyiben visszavont alárendelt CA-kat vagy tanúsítványokat a lista készülte óta, készítsen egy újat, így a változások hozzáfűzésre kerülnek. CRL készítéséhez vagy frissítéséhez nyomja meg a CRL készítése gombot. .Ezek után adja meg az új CRL érvényességi idejét (alapértelmezés 30 nap), majd nyomja meg az OK gombot a CRL elkészítéséhez és megjelenítéséhez. Ezek után közzé kell tenni a CRL-t.

CA objektumok exportálása LDAP protokollon keresztül

A YaST LDAP klienssel elő kell készíteni a végrehajtó számítógépet LDAP exportra. Így futási időben elérhetővé válnak LDAP kiszolgálóinformációk, és ezek használhatók a párbeszédablakok automatikus kiegészítésére. Az LDAP export lehetséges egyéb esetben is, azonban az LDAP adatokat kézzel kell beírni. Mindig több jelszót is be kell írni (bővebb információ: LDAP exportálás közben szükséges jelszavak).

Táblázat: LDAP exportálás közben szükséges jelszavak

Jelszó	Jelentés
LDAP jelszó	A jelszó hitelesíti a klienst, hogy képes legyen objektumok létrehozására az LDAP címtárfában.
tanúsítványjelszó	A jelszó hitelesíti a felhasználót, hogy ki tudja exportálni a tanúsítványt.
Új tanúsítványjelszó	PKCS12 formátum használatos LDAP export közben. Ez a formátum kikényszeríti egy új jelszó hozzárendelését az exportált tanúsítványhoz.

Tanúsítványok, CA-k,és CRL-ek exportálhatók LDAP protokollon keresztül.

CA exportálása LDAP-n keresztül

CA exportálásához adja meg a CA-t, az alábbiak szerint: Alárendelt CA készítése és visszavonása. Válassza ki a Kiterjesztés → LDAP exportálás menüpontot, majd a következő ablakban adja meg az LDAP adatokat. Ha a rendszere YaST-al került konfigurálásra, a mezők automatikusan kitöltésre kerülnek. Ellenkező esetben minden adatot kézzel kell megadnia. A bejegyzések a »caCertificate«attribútummal lesznek kibővítve.

Tanúsítvány exportálása LDAP-n keresztül

Adja meg az exportálandó tanúsítványt tartalmazó CA-t, majd nyomja meg a Tanúsítványok gombot. Válassza ki a szükséges tanúsítványt a tanúsítványlistából a párbeszédablak felső részéből, majd az Exportálás → LDAP exportálás menüpontokat. Az LDAP adatokat itt is meg kell adni, mint a CA exportálásánál. Ezek után a megfelelő felhasználói objektum kikeresésre kerül és ki lesz bővítve a »userCertificate« (PEM formátum) és »userPKCS12« (PKCS12 formátum) attribútumokkal.

CRL lista exportálása LDAP-on keresztül

Adja meg a CRL-t tartalmazó CA-t, amelyet exportálni kíván és válassza ki a CRL...opciót. Amennyiben szükséges, készítsen egy új CRL-t, majd exportálja a Exportálás → LDAP formátumbaopcióval. Az LDAP információkat itt is meg kell adni a CA-hoz hasonló módon. Ezek után az LDAP bejegyzések létrejönnek ugyanazon a ponton, mint a CA, de a »certificateRevocationList« attribútumot használva.

CA objektumok exportálása fájlba

Amennyiben beállított egy CA-adminisztrálási lerakatot a számítógépen, ezzel az opcióval hozhatja létre a megfelelő CA objektumokat a megfelelő helyeken, közvetlenül fájl formájában. Különböző formátumok használhatók, például PEM, DER vagy PKCS12. PEM formátum esetén kiválaszthatja, hogy el kívánja -e menteni a kulcsokat, illetve, hogy a kulcsok titkosítottak legyenek -e. PKCS12 formátum esetén lehetséges a tanúsítvány-útvonal exportálása is.

A tanúsítvány CA és CRL fájl formátumba történő exportálása ugyanúgy történik, mint az LDAP export (CA objektumok exportálása LDAP protokollon keresztül), kivéve, hogy aFájlba exportálás parancsot kell választani azLDAP exportálás helyett. Ezek után megjelenik a párbeszédablak, ahol kiválaszthatja a kimeneti formátumot, és beírhatja a jelszót és a fájl nevét. A tanúsítványok ezután a megfelelő helyre kerülnek elmentésre az OKlenyomására.

Tanúsítványok exportálása hajlékonylemezre

A YaST lehetővé teszi tanúsítványok exportálását hajlékonylemezre. CA-k és CRL listák azonban nem exportálhatók hajlékonylemezekre. Ez a megoldás gyakori megoldás kiszolgálótanúsítványok átmásolására egy elszigetelt CA számítógép és egy kiszolgáló között. Ez a YaST funkció párja annak a speciális YaST modulnak, amely kizárólag az ilyen módon exportált tanúsítványok importáláshoz készült (lásd a következő szakaszban).

Hajlékonylemezre exportáláshoz először adja meg a CA-t, amely tartalmazza az exportálandó tanúsítványokat, majd válassza a Tanúsítványokmenüpontot. Válassza ki a szükséges tanúsítványt a listából és exportálja: Exportálás → Exportálás hajlékonylemezre. A következő párbeszédablak egy hajlékonylemez behelyezését kéri, valamint egy új PKCS12 jelszó megadását. Ezek után nyomja meg a Következőgombot és a tanúsítvány kiíródik a lemezre.

Általános kiszolgálótanúsítványok importálása

Ha rendelkezik egy exportált kiszolgálótanúsítvánnyal egy hajlékonylemezen, amely a YaST segítségével készült egy elszigetelt CA gépen, importálhatja azt egy másik kiszolgálón, mint Általános kiszolgálótanúsítványt. Ezt a telepítés során vagy később is megteheti a YaST Általános kiszolgálótanúsítványok importálása parancsával a YaST vezérlőközpont Felhasználók és biztonság menüpontja alatt. Az általános kiszolgálótanúsítvány az /etc/ssl/servercertskönyvtárban tárolódik és bármely CA által támogatott szolgáltatáshoz használható. Ha a tanúsítvány lejár, hasonló módon könnyedén lecserélhető. Egyetlen további művelet szükséges: a tanúsítványt használó szolgáltatásokat újra kell indítani.

Miután a modul elindult, ellenőrizze a jelenlegi tanúsítvány leírását. Importáláshoz válassza azImportálás → Hajlékonylemezrőlés helyezze be a megfelelő hajlékonylemezt, majd adja meg a tanúsítvány jelszavát és nyomja meg a Következőgombot. A tanúsítvány importálásra kerül és megjelenik a Leírás mezőben.

VPN SUSE LINUX-al

A VPN (virtuális magánhálózat) technológia segítségével biztonságos kapcsolat építhető ki az Interneten keresztül. A kapcsolat nem internetes, de azon keresztül épül fel. A hitelesítési és egyéb védett adatcsomagok titkosított csatornában, új csomagok formájában kerülnek továbbításra. Ezzel a megoldással távoli számítógépek között építhető fel biztonságos, alacsony költségű kapcsolat. Az ilyen típusú kapcsolatra létrehozott szabvány az IPsec (Internet protocol security - Biztonságos Internet protokoll), amelyet Linuxon többek között a FreeS/WAN programmal valósítottak meg.

A VPN kapcsolat felépítéséhez minden résztvevő digitális tanúsítványa szükséges, amellyel ellenőrizhető a kapcsolat valódisága. Ilyen tanúsítványok a YaST program használatával készíthetők, majd használhatók VPN-hez. A X.509 tanúsítványok kezelése YaST-al oldal rövid magyarázatot ad a tanúsítványok készítéséről, felügyeletéről és működéséről. A következő rész ismerteti a VPN kiszolgáló és kliensek Linux illetve Windows alatti használatát és konfigurálását a YaST segítségével.

Road Warrior (utcai harcos) kiszolgálók beállítása

Road Warrior (utcai harcos) kiszolgálónak szokás nevezni a VPN kiszolgálónak azt a konfigurációját, amely bármilyen klienst fogad, aki rendelkezik érvényes és CA által aláírt tanúsítvánnyal. Egy Road Warrior kiszolgáló felállítása három lépésből áll, amelyeket az alábbiakban ismertetünk.

1. Készítsen egy kiszolgálótanúsítványt a CA kezelő számítógépen;
2. importálja a tanúsítványt a kiszolgálóra;
3. állítsa be a kapcsolatot a kiszolgálón.

Kiszolgálótanúsítvány készítése

Készítse el a kiszolgálótanúsítványt a YaST CA felügyeleti moduljával (bővebben Felhasználói tanúsítványok készítése és visszavonása). Ezt követően mentse el a tanúsítványt a kulcsokkal és a résztvevő CA-kkal egy PKCSI12 formátumú fájlba (bővebben CA objektumok exportálása fájlba).

A kiszolgálótanúsítvány importálása

Indítsa el a VPN YaST modult a kiszolgálón a YaST vezérlőközpontból, a Felhasználók és Biztonság menüpontból. Az összefoglalónál, amint az a képen látható, válassza a Tanúsítványok → Import funkciót, majd jelölje ki a mentett PKCS12 fájlt. Az importáláshoz adja meg a PKCS12 jelszót. Ezek után a tanúsítvány megjelenik a tanúsítványok listájában. Válassza a Következő gombot az összefoglalóhoz való visszatéréshez.

VPN kapcsolat beállítása

Egy másik kapcsolat beállítása is szükséges, hogy a tanúsítvány biztosan az IPsechez használható legyen. Az összefoglalásban nyomja meg a Kapcsolatok, majd Hozzáadás gombokat a kapcsolatok összefoglalásánál. Miután kiválasztotta a Road Warrior kiszolgálót, elkészül egy olyan beállítás, amely bármilyen kapcsolatot elfogad, ha a kliens rendelkezik a CA által aláírt, érvényes tanúsítvánnyal.

Adja meg a kapcsolatok beállításait a párbeszédablakban. Írja be a saját IP-címét a Helyi IP-cím mezőbe. Betárcsázós Internet-hozzáférés esetén ez a cím általában nem ismert a csatlakozás előtt, mivel a szolgáltató a csatlakozás során rendel IP-címet a kliensekhez. Ha azonban elérhető az Internet a számítógépről, akkor szinte bizonyosan rendelkezik a gép egy alapértelmezett átjáróval. A %defaultroute beállítással a kiszolgáló mindig az alapértelmezett átjáró csatolóját fogja használni.

Amennyiben olyan kapcsolatot akar felállítani, amely automatikusan fel- és lekapcsolódik attól függően, hogy az alapértelmezett átjáró nélküli hálózati csatoló aktív vagy sem, válassza a %dynamic beállítást. Ebben az esetben a csatoló akutális IP-címe kerül használatra.

Ha azt akarja, hogy a kiszolgáló átjáróként üzemeljen és engedélyezze a hálózathoz való hozzáférést, akkor kapcsolja be az Átjáró funkcionalitásmenüpontot. Ezek után adja meg a hálózat címét, például 10.10.0.0/24. A szükséges tanúsítvány itt is kiválasztható. Az első tanúsítvány lesz az alapértelmezett.

A Következő gombra kattintás után megjelenő párbeszédablakban válassza ki a kapcsolatkezelés módját a számítógép indulásakor. A kapcsolat lehet »előkészített«, vagy »leállított«. Előkészített kapcsolat esetén a kiszolgáló várja a kliensek kapcsolatigénylését.

Ez csak akkor lehetséges, ha a helyi IP-cím már ismert. Ez azt is jelenti, hogy ha a %defaultroute változó be van állítva, akkor az alapértelmezett átjáró már ismert, és a számítógép már rákapcsolódott az Internetre. Amennyiben indulásakor a számítógép nincs az Icsatlakoztatva, megadhatja, hogy a kapcsolat törlődjön-e és újra felépüljön egy hálózati csatoló aktiválásakor, például egy DSL eszköz esetén. Amennyiben a kiválasztott csatoló nem az alapértelmezett átjáró csatolója, ne használja a %defaultroute beállítást mint helyi IP-címet. Az OK gomb megnyomása után az új kapcsolat megjelenik az összefoglaló listában. Az OK, majd Kilépés gombok lenyomása után a változások életbe lépnek.

VPN kliens beállítása Linuxon FreeS/WAN kiszolgálóhoz

Linuxon három fő lépés szükséges a VPN kliens beállításához:

1. Készítsen egy klienstanúsítványt a CA felügyeleti számítógépen;
2. exportálja ki a FreeS/WAN konfigurációs fájlt;
3. importálja a fájlokat a kliens számítógépre.

Klienstanúsítvány készítése

A klienstanúsítványt a YaST CA Management modulja segítségével készítheti el (bővebben Felhasználói tanúsítványok készítése és visszavonása). Az elkészült tanúsítványt ezek után mentse a kulcsokkal és a résztvevő CA-kkal egy PKCSI12 formátumú fájlba (bővebben CA objektumok exportálása fájlba).

A FreeS/WAN konfigurációs állomány exportálása

Indítsa el a kiszolgálón a VPN YaST modult a YaST vezérlőpultból, a Felhasználók és biztonság részből. Az összefoglalásban ([[Dokumentáció/SL9.3/|]]) válassza a Kapcsolatok pontot, majd jelölje ki a kívánt kapcsolatot a megjelenő listából. Ezek után válassza ki a Szakértői... → Exportálás → FreeS/WAN pontokat, majd adja meg a helyet, ahová menteni kívánja a freeswan_ipsec.conf állományt, amelyet ezek után át kell másolni a Linux kliensre. A fájl alapértelmezett beállításokat tartalmaz a FreeS/WAN kliens részére, ennek részleteit lehet, hogy módosítani kell majd. Az állomány a FreeS/WAN 2-es verziójához készült, a korábbi változatokhoz további paraméterek megadása szükséges.

Állományok importálása a kliensen

Következő lépésként a tanúsítványokat és a konfigurációs fájlokat át kell töltenie a kliensre egy biztonságos csatornán keresztül. Az IPsec konfigurációs fájlt a /etc/ipsec.conf állományba kell menteni.

A tanúsítványok importálásához indítsa el a kliensen a YaST modul VPN opcióját, a YaST vezérlőközpontban, a Felhasználók és biztonság részből. Az összefoglalóban ([[Dokumentáció/SL9.3/|]]) válassza a Tanúsítványok → Importálás pontokat, majd válassza ki az elmentett klienstanúsítványt. Importáláshoz adja meg a tanúsítvány jelszavát. A tanúsítvány ezek után megjelenik a tanúsítványlistában, és a Következő gomb kiválasztásával visszatérhet az összefoglalóba.

Manuális klienskonfiguráció

Ha a kliens nem rendelkezik a YaST VPN modullal, a tanúsítványt manuálisan is importálhatja:

1. Másolja be a klienstanúsítványt a /etc/ipsec.d/certs fájlba.
2. Másolja be a CA tanúsítványt a /etc/ipsec.d/cacerts fájlba.
3. Másolja be a kulcsot az /etc/ipsec.d/private fájlba. Csak a root felhasználó érheti el ezeket az állományokat. Módosítsa ennek megfelelően a jogosultságokat.
4. Adja meg a kulcs jelszavát a /etc/ipsec.secrets fájlban. Ez az állomány szintén csak root felhasználóként érhető el.

Az openssl parancssori program használható a tanúsítványok PKCS12 fájlból történő importálására:

openssl pkcs12 -clcerts -nokeys -in DATEI.p12 -out \
 /etc/ipsec.d/certs/cert_01.pem

Hasonlóképp járhat el a CA tanúsítványokkal:

openssl pkcs12 -cacerts -nokeys -in DATEI.p12 -out \
 /etc/ipsec.d/cacerts/cacert_01.pem

és a kulcsokkal:

openssl pkcs12 -nocerts -nodes -in USER.p12 -out \
 /etc/ipsec.d/private/key_01.pem

chmod 600 /etc/ipsec.d/private/key_01.pem

A -nodes paraméter azt adja meg, hogy a kulcs jelszó nélkül tárolódjon. Ez nem probléma, mivel a fájlt csak a root felhasználó érheti el. Még egy bejegyzés szükséges a /etc/ipsec.secrets fájlba, hogy a FreeS/WAN felismerje a kulcsokat. Használja a következő parancsokat:

echo ': RSA /etc/ipsec.d/private/key_01.pem ""' \
 >> /etc/ipsec.secrets

chmod 600 /etc/ipsec.secrets

Ezek után a konfigurációs állomány bemásolható az /etc/ipsec.conf helyre. Bizonyos körülmények között a leftcertben át kell alakítani a fájlnevet. Általában azonban a /etc/ipsec.d/certs/cert_01.pem már előre be van írva. A jogot követő értéknek meg kell egyeznie a kiszolgáló DNS nevével vagy IP-címével.

Az rcipsec start elindítja az IPsec szolgáltatást és felépíti a kapcsolatot, ha az auto=start már be van kapcsolva. Az ipsec auto --status vagy setkey-D parancsok és a /var/log/messages fájl vizsgálatával megállapítható, hogy minden megfelelően működik -e. Az rcipsec stop parancs leállítja az IPsec szolgáltatást és megszakít minden kapcsolatot.

IPsec kliensek Windows XP és Windows 2000 környezetben

A SUSE LINUX rendszerhez Windows XP és Windows 2000 kliensekről is csatlakozhat IPsec protokollon keresztül. Ehhez kövesse az alábbiakban leírt lépéseket.

1. Készítse el a klienstanúsítványt a CA felügyeleti számítógépen.
2. Exportálja a Windows konfigurációs állományt.
3. Készítse elő a Windowst.
4. Konfigurálja a Windows bővítőmodult.
5. Importálja a klienstanúsítványt.
6. Jegyezze fel a tanúsítvány fontos adatait.
7. Állítsa be az IPsec kapcsolatot.
8. Készítsen parancsikont a munkaasztalon.

Klienstanúsítvány készítése

Készítse el a klienstanúsítványt a YaST CA felügyeleti moduljával (bővebben Felhasználói tanúsítványok készítése és visszavonása). Ezt követően mentse el a tanúsítványt a kulcsokkal és a résztvevő CA-kkal egy PKCSI12 formátumú fájlba (bővebben CA objektumok exportálása fájlba).

A Windows konfigurációs állomány exportálása

Indítsa el a kiszolgálón a YaST modul VPN opcióját, a YaST vezérlőközpontban, a Felhasználók és biztonság részből. Az összefoglalásban ([[Dokumentáció/SL9.3/|]]) válassza a Kapcsolatok lehetőséget, majd jelölje ki a kívánt kiszolgálót a kapcsolatok összefoglalásában. Ezek után válassza ki a Szakértői... → Exportálás → Windows pontokat, majd adja meg a könyvtárat, ahová el kívánja menteni a windows_ipsec.conf állományt, amelyet majd át kell tölteni a Windows kliensre. A fájl Windows kliensek számára ajánlott konfiguráció, amelyet igény szerint testre kell szabni.

A Windows előkészítése

IPsec kapcsolat kézi beállítással is felépíthető. Ehhez az alábbi állományok szükségesek: ipseccmd.exe (Windows XP) vagy ipsecpol.exe (Windows 2000). Ezek az állományok a Windows telepítőkészletén találhatók. Windows XP használata esetén indítsa el a support\tools\setup.exe állományt a telepítő CD-ről (teljes telepítés). Ezek a programok parancssoros alkalmazások, ezért használatuk meglehetősen nehézkes. A kapcsolatok beállíthatók az MMC (Microsoft Management Console) használatával is, ami azonban szintén nem kézenfekvő. Ezért ajánlott az ipsec.exe eszköz használata, amely elvégzi az alapvető IPsec kapcsolat konfigurációját Windows XP vagy Windows 2000 alatt.

Ez a segédprogram letölthető a http://vpn.ebootis.de/package.zip címről. Tömörítse ki az állományt, például a C:\Programs\IPsec\ helyre. Itt szeretnénk köszönetet mondani a program készítőjének: <marcus@ebootis.de>.

Windows 2000 használata esetén először telepítse a Service Pack 2 javítócsomagot, amellyel a Windows 2000 képes lesz a 3DES titkosító eljárás kezelésére. Ellenkező esetben Windows 2000 alól a kapcsolódás nem lehetséges. A Windows 2000 Service Pack 2 letölthető:

http://www.microsoft.com/windows2000/downloads/servicepacks/sp2/sp2lang.asp.

Windows 2000 használata esetén szükséges a ipsecpol.exe segédprogram is, amelyet az alábbi helyen talál:

http://agent.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.asp.

A szükséges bővítőmodulok konfigurálása

Nyissa meg az MMC alkalmazást a Windows kliensen. A Start menüben válassza a Futtatás → MMC menüpontokat. Az MMC-ben jelölje ki a Fájl → Bővítőmodul hozzáadása/eltávolítása lehetőséget. Párbeszédablak jelenik meg, amelyben az aktív bővítőmodulokat láthatja. Válassza a Hozzáadás opciót. Választóablak jelenik meg, amely megmutatja az összes rendelkezésre álló bővítőmodulok listáját. Tanúsítványok → Hozzáadás parancsok kiválasztásával eljuthat a konfigurációs varázslóhoz. Itt a Számítógép lehetőséget kell kiválasztani, majd a Következő gombot megnyomni. Válasszuk ki a Helyi számítógép → Befejezés, majd az IP Biztonsági házirend kezelése → Hozzáadás opciót. A konfigurációs varázslóban az alábbiakat válassza:Helyi számítógép → Befejezés. Nyomja meg a Bezárás, majd az OK gombot.

Klienstanúsítvány importálása

A korábban hozzáadott két bővítőmodul most már látható az MMC-ben. Nyissa meg a Tanúsítványok könyvtárat. Kattintson a jobb egérgombbal a Saját tanúsítványok gombra, majd a legördülő menüből válassza a Minden feladat → Importálás pontokat. Az ekkor megnyíló tanúsítványvarázslóban lépjen tovább: Tovább → Keresés. A Fájltípus alatt adja meg a fájl elérését: Private Information Exchange (*.pfx,*.p12). Válassza ki az exportált PKCS12 fájlt és kattintson a Tovább gombra. Adja meg a YaST CA felügyelet moduljában használt jelszót, amelyet exportálásnál adott meg. Válassza a Tovább gombot, majd a Mentse a tanúsítványokat a következő hely