HOVEDPROSJEKT 2006 Endring av nettverksinfrastruktur for Simplicatus AS og implementering av VPN Morten Sandberg Dataingeniørstudent HiST/AITeL
Oppdragsgiver
Om Simplicatus Liten bedrift som ble stiftet i mai 2000 Hovedkontor på Innovasjonssenter Gløshaugen ved NTNU siden høsten 2002 Visjon: Simplicatus forklarer vanskelige ting på en enkel måte Produkter og tjenester: Simplicatus sine produkter og tjenester bygger på moderne pedagogisk forskning knyttet til læring av matematikk og realfag Kjernekompetanse: Kommunikasjon av realfaglig forståelse kombinert med pedagogisk og teknologisk innsikt
Bakgrunn for oppgaven Simplicatus flytter til nye lokaler i Oslo sommeren 2006 Har benyttet mange IT-ressurser og -tjenester fra NTNU (e-post, VPN, DNS, DHCP, nettverk) Ingen etablert nettverksinfrastruktur i lokalene i Oslo Firmaet har begrensede ressurser og begrenset kompetanse innenfor spesielt VPN Flere ansatte arbeider fra hjemmekontor på forskjellige steder i Norge Behov for tilgang til ressurser på det interne nettverket ved tjenestereiser i Norge og utlandet
Problemstillinger og behov Behov for kartlegging, analyse og design av nettverksinfrastruktur i nye lokaler Implementering av VPN-løsning som dekker bedriftens behov (host-to-net, roadwarrior) Vurdering av forskjellige arbeidsformer og valg av metode for å få tilgang til ressurser på det interne nettverket, når brukeren er på sitt hjemmekontor eller på reise
Hvorfor valg av denne oppgaven? Studenten ønsket på forhånd å jobbe med en faglig interessant hovedprosjektoppgave for å forbedre sin egen kompetanse innenfor nettverk, sikkerhet og Linux Mulighet for fordypning i OpenVPN Meget interessant VPN-teknologi Stort potensiale og spennende framtidsutsikter Få erfaring med Linux-basert "firewall-distribusjon" Studenten har stor tro på kostnadseffektive og funksjonelle løsninger med produkter og tjenester basert på åpen kildekode og åpne standarder
Hvordan oppgaven ble løst (1/3) Avgrensning av oppgaven Bedriften skulle bruke IPCop firewall distro (Linux) Fordeling av praktiske oppgaver mellom studenten og IT-ansvarlig Skaffet informasjon og oversikt over aktuelle teknologier og produkter OpenVPN ble foretrukket som VPN-teknologi basert på: Mindre kompleksitet enn IPSec-baserte VPN-løsninger Stor funksjonalitet og få begrensninger Tilgjengelig serverløsning kunne integreres med IPCop Anbefalinger og gode erfaringer fra andre brukere og sikkerhetseksperter (Bruce Schneier m.fl.)
Hvordan oppgaven ble løst (2/3) Testserver med Linux-distribusjonen IPCop ble installert på hjemmekontoret til studenten Testing av OpenVPN-server Testing av OpenVPN-klienter på forskjellige plattformer og oppkobling fra forskjellige nettverk "Tuning" og "tweaking" av OpenVPN-klienter og server Analyserte og designet nettverksinfrastruktur til bruk i nye lokaler Dette designet ble benyttet av IT-ansvarlig som installerte og konfigurerte produksjonsserveren
Hvordan oppgaven ble løst (3/3) Tilpasset en egen installasjonspakke for OpenVPN-klient for Windows med Simplicatus sin "branding" OpenVPN-server ble installert på bedriftens produksjonsserver (IPCop firewall distro) Testing av OpenVPN-klienter fra forskjellige nettverk, hjemmekontor og via trådløst nettverk Vellykket testing mot tjenester som filserver, DNS, DHCP og webproxy. Produksjonsserver har vært i stabil drift siden 5. mai Vurdering av arbeidsformer og utarbeidet anbefalinger til valg av metode for tilgang til ressurser på internt nettverk
Resultater - Nettverksinfrastruktur
Resultater - VPN VPN-server er installert som tilleggsmodul på IPCop firewall distro (gatewayserver) VPN-klient for Windows XP/2000 fungerer VPN-klient for Debian GNU/Linux fungerer VPN-klient for Mac finnes, men er ikke testet av praktiske årsaker VPN-løsningen fungerer utmerket: som host-to-net-løsning fra hjemmekontor (Windows og Linux) som roadwarrior-løsning når brukeren er på reise (det kan være begrensninger på noen nett, bl.a. på flyplasser og hos enkelte bedrifter og organisasjoner) ved trådløs oppkobling i egne lokaler
Resultater - VPN Skjermbilder fra innlogging med VPN-klient på Windows
Resultater - Arbeidsformer
Demonstrasjon Praktisk demo av VPN-klient på Windows XP Endring av passord Innlogging på VPN-server Websurfing Traceroute
Mulige utvidelser og forbedringer VPN Autentisering mot sentral brukerdatabase på server (f.eks. LDAP) Innloggingsscript: Nedlasting av oppdatert script fra webserver med wget ved hver enkelt innlogging på VPN-server Monterer opp nettverksdisker med scriptet Avmonterer nettverksdisker ved avlogging Avansert feilhåndtering Brukere genererer sertifikat og laster ned dette selv fra en webside uten hjelp fra systemadministrator Alternative oppkoblingsmetoder (f.eks. på flyplass) Enklere oppsett av OpenVPN-klient på Windows for "ikke-administratorer"
Mer informasjon om hovedprosjektet Ressursnettside: http://hovedprosjekt.mortensandberg.info Fokus på denne nettsiden: Tekniske løsninger og programvare som er benyttet Lenker til ressurser på andre nettsteder, relevante artikler og veiledninger VPN-programvaren OpenVPN Linux-distribusjonen IPCop