книги хакеры / журнал хакер / 109_Optimized

>>

ХАКЕР

Подключение к VPN-серверу: клиентская настройка

#viradius.conf

acct 127.0.0.1 password123 auth 127.0.0.1 password123

Настройка PPTP-сервера с использованием Poptop

Poptop (www.poptop.org) является наиболее удачным, простым и быстрым решением для организации VPN-сервера на базе Linux/xBSD. В возможности Poptop входит: Microsoft-совместимая аутентификация и шифрование (MS-CHAPv2, MPPE 40-128 bit RC4), поддержка несколь-

ких клиентских соединений, прозрачная интеграция в сетевое пространство Microsoft (LDAP, Samba) с использованием плагина RADIUS, поддержка популярных PPTP-клиентов. В плане производительности, по сравнению с MPD, Poptop имеет один серьезный недостаток: он работает в пространстве пользователя, в то время как MPD трудится через модуль ядра NetGraph.

Предположим, у нас есть сервер под управлением OpenBSD 4.2 с внутренним IP-адресом 192.168.2.1; аутентифицированным клиентам необходимо выдавать IP-адреса из диапазона 192.168.2.32/27 (192.168.2.32-192.168.2.63, маска подсети 255.255.255.224, 30 доступ-

ных адресов).

Для функционирования системы в качестве шлюза, позволяющего клиентам локальной сети обращаться к внешнему миру, первым делом необходимо включить перенаправление IPv4 пакетов с одного сетевого интерфейса на другой:

# sysctl -w net.inet.ip.forwarding=1

ШтатноеядроOpenBSDподдерживаетпротоколGRE,нашазадача—раз- решитьегоиспользование:

# sysctl -w net.inet.gre.allow=1

Чтобыизменениявступиливсилупослеперезагрузки,добавляемсоответ-

ствующиезаписив/etc/sysctl.conf:

#vi/etc/sysctl.conf net.inet.ip.forwarding=1 net.inet.gre.allow=1

#Еще один полезный параметр для шлюза: при панике ядра не сваливаемся в отладчик DDB, сразу идем на перезагрузку ddb.panic=0

Устанавливаемpoptopизпортов:

Модифицируем значения переменных механизма sysctl

#cd /usr/ports/net/poptop

#make install clean

Илиспомощьюпрекомпилированногопакета:

# pkg_add ftp://ftp.openbsd.org/pub/OpenBSD/4.2/ packages/i386/poptop-1.1.4.b4p1.tgz

Прикомпиляцииизисходныхтекстовконфигурационномускрипту configureследуетпередатьдвапараметра:‘--with-bsdppp’и‘--with-pppd-ip- alloc’.Назначениепервойопцииочевидноизназвания,втораяпозволяет снятьограничениянаколичествоодновременныхсессийидобавляет поддержкумеханизмараспределенияIP-адресов.

Все,инсталляцияпроизведена,переходимкнастройке.

#vi/etc/ppp/ppp.conf

#Умолчальные установки default:

set log Phase Chat LCP IPCP CCP tun command

#Отключаем использование протокола IPv6 disable ipv6cp

#Ключевая секция

pptp:

#Используем MS-CHAP v2 enable MSChapV2

#Используем алгоритм шифрования данных MPPE set mppe 128 stateless

#Стандартные методы компрессии не работают с MPPE, отключаем их

disable deflate pred1 deny deflate pred1

#Отключаем таймер ожидания

set timeout 0

#Задаем адрес VPN-шлюза, диапазон клиентских адресов и широковещательный адрес

set ifaddr 192.168.2.1 192.168.2.32-192.168.2.63 255.255.255.255

#Разрешаем получение адреса DNS-сервера и передаем его клиенту

accept dns

set dns 192.168.1.1

#При необходимости включаем ARP proxy

enable proxy

ХАКЕР.PRO

Официальный сайт PPTP-Client под *nix

Создание или изменение учетных записей пользователей производится путем редактирования файла /etc/ppp/ppp. secret. В поле Hostname вместо имени хоста или IP-адреса можно указать знак звездочки «*», что означает возможность установить соединение с любого компьютера. Последние два поля («Метка» и «Обратный вызов») являются необязательными.

#vi/etc/ppp/ppp.secret

Обрати внимание, вся информация хранится в открытом виде. Если не ограничить права к этому файлу, паролями для доступа в интернет сможет воспользоваться любой зарегистрированный в системе пользователь:

#chown root:wheel /etc/ppp/ppp.{conf,secret}

#chmod 600 /etc/ppp/ppp.{conf,secret}

Когдасделанывсевышеописанныенастройки,poptopможносчитать готовымкработе.Длязапускаpptpdдостаточноввестивкомандной строке:

#/usr/local/sbin/pptpd

В/etc/rc.localдобавляемавтозапускдемона:

#vi/etc/rc.local

if [ -x /usr/local/sbin/pptpd ]; then

echo -n 'pptpd'; /usr/local/sbin/pptpd

fi

Настройкафильтрапакетовpf(4)накорректнуюработусPPTPнетривиальнаизаключаетсявразрешениивходящихсоединенийпо1723/tcpи прохожденияGRE-трафика:

#vi/etc/pf.conf

#Задаем используемые сетевые интерфейсы ext_if = "fxp0"

int_if = "fxp1" pptp_if = "tun"

Мастер новых подключений в WindowsXP

#Определяем список, в который занесены IP-адреса подключающихся клиентов

table <pptp_users> { 192.168.2.32/27 }

#Не фильтруем пакеты на интерфейсах обратной петли set skip on lo

#Выполняем трансляцию сетевых адресов только для пользователей, использующих PPTP

nat on $ext_if inet from <pptp_users> -> ($ext_if:0)

#Запрещаем все входящие соединения

block quick inet6 all block in

block return-rst in proto tcp

#Разрешаем исходящие соединения pass out keep state

#Разрешаем управляющее соединение

pass in on $int_if inet proto tcp from ($int_if:network) \ to ($int_if) port pptp keep state

#Разрешаем использование трафика, инкапсулированного в GRE

pass in on $int_if inet proto gre from ($int_if:network) \ to ($int_if) keep state

#Разрешаем трафик на туннельном интерфейсе

pass in on $pptp_if inet from <pptp_users> to ! (self) \ keep state

Проверяемконфигнаналичиеошибок:

#pfctl -n -f /etc/pf.conf

Иперезагружаемнаборрулесетовфайрвола:

#pfctl -f /etc/pf.conf

Заключение

Всенастройкипроизведены,серверподнятикараулитподключенияклиентов.Есливсесделаноправильно,тоонинезаставятсебядолгождать:). Причиныобломасмотри,каквсегда,влогах.Удачи.z

08)январь01( x