• ☰  Blogi
  C-struktuurin tulostus Uusi työasema Detroit engine Jalanjälkien piilotusta Varmuuskopiointia Opensource-hostausta
• ☰  Trips
  Asunción, 2020 London, 2020

  ---

  Riga, 2019 Bogotá, 2019

  ---

  Leiden, 2018 Bremen, 2018 Adeje, 2018

  ---

  Ghent, 2017 Salzburg, 2017

  ---

  Prague, 2016 Pula, 2016 Venice, 2016

  ---

  Budapest, 2015 Buenos Aires, 2015 Colonia del Sacramento, 2015

  ---

  Amsterdam, 2014 Liverpool, 2014 Paris, 2014

  ---

  Copenhagen, 2013 Buenos Aires, 2013

  ---

  Helsinki
• Sources

Digitaalisten jalanjälkien piilotusta

Mielessäni on jo pitkään vellonut ajatus kaiken kotoani lähtevän ja sinne tulevan verkkoliikenteen piilottamisesta palveluntarjoajalta sekä liian uteliailta valvontaohjelmilta. Ajan puutteen vuoksi olen toistaiseksi tyytynyt SSL tunneloituun HTTP proxyyn, kaiken liikenteen piilottamisen on ollessa lähinnä hämärä ajatus, »teen sen sitten joskus».

Muutamia päiviä sitten kummastuneena lueskelin painavaa asiaa suomalaisen lakitoimiston torrent-verkkojen seuraamisesta, ja pahaa-aavistamattomien amerikkalaisen mainstream elokuvien lataajien rahastamisesta. Mielestäni rahan kiristäminen torrent-lataajalta on sekä moraalitonta että silkkoa kusetusta, mutta se ei sinänsä kuulu tähän tarinaan. Kyseisen lakitoimiston harjoittama kiristys ja valvonta sai osaltani vauhtia verkkoliikenteen salaamiseen, vaikken sinänsä kopiosuojatusta tavarasta olekaan suuremmin kiinnostunut.

Kaiken verkkoliikenteen salaamiseen on helppo ja toimiva keino, Virtual Private Network, eli tuttavallisemmin VPN. VPN on tarkoitettu etäkoneen, yleensä työaseman, liittämiseksi vaikkapa yrityksen verkkoon vahvasti salattuna siten, että yrityksen sisäverkon palvelut ovat etätyöaseman käytettävissä. Etätyöläisten väline siis. VPN on täten oivallinen väline itsensä anonymisointiin verkon valvovien silmien alla. Homman toimimiseen tarvitaan kuitenkin se yritys johon työasema liitetään. Yrityksen ei tietystikään tarvitse olla oikea firma, vaan tavallinen VPN palvelua pyörittävä palvelinkone jossain päin maailmaa riittää.

VPN palvelin- ja asiakasohjelmia on lukuisia, myös kaupallisia, mutta minä haluan käyttää kokonaan omaa asennusta sekä palvelin- että asiakaspäässä. Hyvä, monipuolinen ja toimiva, sekä ennenkaikkea turvallinen VPN ohjelmisto on OpenVPN, joka tarjoaa samassa paketissa sekä palvelin- että asiakasohjelman. Palvelinohjelma toimii omalla palvelimellani jossain Saksanmaalla, eli verkossa kuleksiessani näytän vahvasti saksalaiselta.

Palvelin ja OpenVPN

Palvelimeni käyttöjärjestelmänä toimii FreeBSD, koska se on nopea, turvallinen ja selkeästi paras valinta palvelinpään hommiin. Turvallisuus on ensiarvoista julkisessa internetissä olevalle koneelle, joka tekee FreeBSD:stä selkeästi parhaan valinnan. VPN palvelimeksi tarvittava OpenVPN ohjelmisto on asennettavissa FreeBSD:n repositoryistä joten asentaminen on hyvin helppoa ja käy yhdellä komennolla:

 $ pkg install openvpn

Näin. Muuta ei tarvita, paitsi tietysti palvelinohjelman konfiguroiminen pelikuntoon, joka vaatii jonkinlaista tuntemusta verkkoliikenteestä, eikä tietosuojamaisesta ajattelustakaan haittaa ole. Omassa asennuksessani tietoliikenne palvelimen ja asiakasohjelman välillä tietysti salataan, mutta asiakasohjelmalta vaaditaan myös kirjautuminen palvelinkoneelle. Palvelimella täytyy siis olla käyttäjätunnus VPN putkeen kytkeytyvälle käyttäjälle.

Oma palvelinkonfiguraationi näyttää suunnilleen samalta kuin allaoleva konfiguraatiotiedosto, hieman riisuttuna tosin. En voi tarpeeksi painottaa internetistä copy-pastattujen konfiguraatiotiedostojen ja skriptien turvattomuutta, eli tässä tarinassa esitetyt konffikset sekä skiriptit ovat tarkoitettu ainoastaan esimerkeiksi eikä niitä pidä asentaa omaan installaatioon ymmärtämättä niiden toiminnallisuutta.

port 666 proto tcp dev tun persist-key persist-tun user nobody group nobody keepalive 10 120 max-clients 10 # Tällä saadaan palvelin kysymään käyttäjätunnusta ja salasanaa plugin /usr/local/lib/openvpn/plugins/openvpn-plugin-auth-pam.so login server 172.16.0.0 255.255.255.0 push "redirect-gateway def1 bypass-dhcp" tls-cipher TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256:\ TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256:\ TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:\ TLS-DHE-RSA-WITH-AES-256-CBC-SHA256 tls-version-min 1.2 cipher AES-256-CBC auth SHA512 # Sertifikaatit ca /usr/local/etc/openvpn/certs/ca.crt cert /usr/local/etc/openvpn/certs/server.crt key /usr/local/etc/openvpn/certs/server.key dh /usr/local/etc/openvpn/certs/dhparam.pem

Sertifikaatit

Sertifikaattien luomiseen OpenVPN:n mukana tulee EasyRSA PKI härveli, jonka pitäisi helpottaa sertifikaattien kanssa puljaamista. Tästä voidaan olla montaa mieltä. Valmista PKI infraa en kuitenkaan halua käyttää, vaan teen ennemmin itse omaan käyttöön paremmin sopivan tavan luoda sekä palvelin- että asiakas sertifikaatit. Tähän tarkoitukseen tein nopeasti kasan OpenSSL:ää käyttäviä skriptejä, joiden toiminnallisuus on ympäripyöreästi sepostettu alla. Käytän omassa asennuksessani 4096 bittisiä RSA avaimia. Vähempikin ehkä riittäisi, mutta tietosuojan suhteen ei koskaan voi olla liian varma.

Palvelimen asennusvaiheessa pitää ensin tietysti luoda CA sertifikaatti (ca.crt) ja siihen liitetty salainen avain (ca.key), sekä itse palvelimen sertifikaatti (server.crt) ja sen salainen avain (server.key). Skriptissäni CA sertifikaatin luontiin käytettävät komennot näyttävät tältä:

 openssl req -new -config ca.conf -keyout ca.key -out ca.req
 openssl ca -config sign.conf -extensions X509_ca -days 365 -create_serial -selfsign \
           -keyfile ca.key -in ca.req -out ca.crt

Ylläolevien komentojen tarvitsemat OpenSSL konfiguraatiot (ca.conf ja sign.conf) puolestaan näyttävät tältä:

[ req ] default_bits = 4096 default_md = sha256 encrypt_key = yes prompt = no string_mask = utf8only distinguished_name = ca_distinguished_name req_extensions = req_cert_extensions [ ca_distinguished_name ] countryName = XXX localityName = XXX organizationName = XXX commonName = XXX emailAddress = XXX [ req_cert_extensions ] subjectAltName = email:XXX@XXX

Tässä sign.conf:

[ ca ] default_ca = CA_default [ CA_default ] dir = . certs = $dir crl_dir = $dir new_certs_dir = $dir private_key = $dir/ca.key certificate = $dir/ca.crt database = $dir/index.txt serial = $dir/serial crlnumber = $dir/crlnumber crl = $dir/crl.pem RANDFILE = $dir/.rand unique_subject = no default_md = sha256 default_days = 365 default_crl_days = 30 x509_extensions = X509_client name_opt = ca_default cert_opt = ca_default copy_extensions = copy policy = policy_dn [ X509_ca ] basicConstraints = CA:TRUE nsCertType = sslCA keyUsage = keyCertSign, cRLSign subjectKeyIdentifier = hash authorityKeyIdentifier = keyid:always,issuer:always [ X509_server ] basicConstraints = CA:FALSE nsCertType = server keyUsage = digitalSignature, keyEncipherment extendedKeyUsage = serverAuth subjectKeyIdentifier = hash authorityKeyIdentifier = keyid,issuer [ X509_client ] basicConstraints = CA:FALSE nsCertType = client keyUsage = digitalSignature extendedKeyUsage = clientAuth subjectKeyIdentifier = hash authorityKeyIdentifier = keyid,issuer [ policy_dn ] countryName = supplied stateOrProvinceName = optional localityName = optional organizationName = match organizationalUnitName = optional commonName = supplied emailAddress = optional

Palvelimen julkisen sertifikaatin ja yksityisen avaimen luontiin skriptini käyttää alla olevia komentoja:

 openssl req -new -config server.conf -keyout server.key -out server.req
 openssl ca -config sign.conf -extensions X509_server -in server.req -out server.crt

Ja taas, skriptissä tarvittava OpenSSL konfiguraatiotiedosto (server.conf) näyttää tältä:

[ req ] default_bits = 4096 default_md = sha256 encrypt_key = no prompt = no string_mask = utf8only distinguished_name = server_distinguished_name req_extensions = req_cert_extensions [ server_distinguished_name ] countryName = XXX localityName = XXX organizationName = XXX commonName = XXX emailAddress = XXX [ req_cert_extensions ] nsCertType = server subjectAltName = email:XXX@XXX

Asiakaspää, eli client, tarvitsee tietysti myös allekirjoitetun sertifikaatin sekä yksityisen avaimen, jotka luodaan skriptillä jonka keskeiset komennot näyttävät osapuilleen tältä:

 openssl req -new -config client.conf -keyout client.key -out client.req
 openssl ca -config sign.conf -out client.crt -in client.req

Ylläolevien komentojen tarvitsema client.conf taas näyttää tältä:

[ req ] default_bits = 4096 default_md = sha256 encrypt_key = no prompt = no string_mask = utf8only distinguished_name = client1_distinguished_name req_extensions = req_cert_extensions [ client1_distinguished_name ] countryName = XXX localityName = XXX organizationName = XXX commonName = XXX [ req_cert_extensions ] nsCertType = client subjectAltName = email:XXX@XXX

Sertifikaattien luonnin ja palvelinohjelman käynnistämisen jälkeen OpenVPN palvelu on käytettävissä. Asiakas sertifikaatit pitää vielä kopioida työasemalle, ja palvelimelle luoda VPN:n asiakaskäyttöä varten käyttäjätunnus.

Asiakas ja OpenVPN

Jotta työasemakoneen liikenne myös reitittyy VPN palvelimelle, tulee työaseman verkkoliikenne ohjata VPN tunneliin. Jos työasemana sattuu olemaan FreeBSD, kuten allekirjoittaneella, käy se kernelin net.inet.ip.forwarding muuttujan asettamisella ykköseksi. Käytän myös satunnaisesti Linux työasemaa, ja Linuxissa verkkoliikenteen ohjaaminen VPN tunneliin vaatii palomuurin NAT säännön:

 $ iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -o eth0 -j MASQUERADE

Näin. Tämän jälkeen ei tarvitse juurikaan huolehtia palveluntarjoajien tai Mordorin valvovista silmistä, sen enempää kuin muustakaan nykyään niin valitettavan yleisestä verkkoliikenteen kyttäilystä.

~ Jani Salonen, 22.1.2017