Перевод: Анна Давыдова
Источник: n0where.net
Переносная виртуальная частная сеть goSecure
goSecure является простой в использовании и портативной виртуальной частной сетью (Virtual Private Network (VPN)).
Документация goSecure
Скачать goSecure
Данная система состоит из одиночного сервера и одного или более клиентов. strongSwan используется для установки туннеля Suite B IPsec с предварительно обменянными ключами между сервером и клиентом (ами). Реализация основного криптоанализа была проверена с помощью инструмента NSA Cryptol.
Компонент сервер является подключенным к нескольким сетям [laptop/server/cloud instance/Raspberry Pi], которые запускают strongSwan, используя NSA Commercial Solutions for Classified (CSfC) Руководящее пособие для защиты данных ограниченного доступа. Он построен на минимальном и защищенном экземпляре Linux в соответствии с DISA Техническими рекомендациями по внедрению системы безопасности (Security Technical Implementation Guides (STIGs)).
Компонент клиент является Raspberry Pi, который запускает strongSwan с помощью NSA CSFC (Руководящее пособие для защиты данных ограниченного доступа) и использует аппаратный генератор случайных чисел (Random Number Generator (RNG)). Он построен на минимальном и защищенном экземпляре Linux в соответствии с DISA STIGs.
На данный момент клиент поддерживает 3 режима работы:
- Ethernet (eth0) LAN – Wifi (wlan0) WAN
- Ethernet (eth1) LAN – Ethernet (eth0) WAN
- Wifi LAN (wlan0) – Ethernet (eth0) WAN
Необходимые условия
- Аппаратное обеспечения
- Ноутбук, настольный компьютер или сервер с 2 сетевыми интерфейсами. В этом примере мы будем использовать ноутбук, у которого есть только один Ethernet порт и внешний USB адаптер Ethernet (например, SIIG JU-NE0211-S1 USB 3.0 для Gigabit Ethernet или Apple USB 2.0 для Ethernet), чтобы добавить второй порт.
- Программное обеспечение
- CentOS 6.8 64-bit (минимальная): http://isoredirect.centos.org/centos/6.8/isos/x86_64/
- CentOS 6.8 64-bit (минимальная): http://isoredirect.centos.org/centos/6.8/isos/x86_64/
Установка операционной системы
- Install CentOS 6.8 64-bit (минимальная)
- Настройка сети
Настройка внешней (Интернет) облицовки интерфейса и обновление ОС:
vi /etc/sysconfig/network-scripts/ifcfg-eth0 Change "ONBOOT=no" to "ONBOOT=yes" in the file. service network restart sudo yum install -y wget
Примечание: Если вы обладаете точно таким же адаптером SIIG USB-to-Ethernet, пожалуйста, перейдите в раздел «Установка драйвера (SIIG) «. В противном случае, пропустите раздел «Установка драйвера eth1 (SIIG)» и следуйте инструкциям, которые были предоставлены производителем вашего устройства USB-to-Ethernet для установки драйвера.
Установка драйвера eth1 (SIIG):
- Убедитесь, что адаптер SIIG USB-to-Ethernet сейчас подключен.
wget http://www.siig.com/media/files/drivers/0010/02-1634d-linux-v1.13.0.zip unzip 02-1634d-linux-v1.13.0.zip cd Linux tar -xf AX88179_178A_LINUX_DRIVER_v1.13.0_SOURCE.tar cd AX88179_178A_LINUX_DRIVER_v1.13.0_SOURCE make make install
- Отключите адаптер SIIG USB-to-Ethernet и подключите его снова.
Настройка внутренне облицовки (Enterprise) интерфейса:
cp /etc/sysconfig/network-scripts/ifcfg-eth0 /etc/sysconfig/network-scripts/ifcfg-eth1 vi /etc/sysconfig/network-scripts/ifcfg-eth1 Change "DEVICE=eth0" to "DEVICE=eth1" Change the "HWADDR=<eth0 MAC address>" to "HWADDR=<eth1 MAC address>"
Примечание: Используйте точно такой же формат для MAC адреса, т.е. «00:00:BA:XX:XX:XX». MAC адрес для eth1 можно найти на обратной стороне SIIG USB-to-Ethernet адаптера.
Delete the "UUID" line. Change "BOOTPROTO=dhcp" to "BOOTPROTO=static" in the file. Add "IPADDR=172.16.166.1" and "NETMASK=255.255.255.0" to the bottom of the file. service network restart
Запустите goSecure сервер установки сценария (Server Install Script)
cd ~ wget
Примечание: замените два значения в команде, приведенной ниже, своими собственными значениями (т.е. sudo python gosecure_server_install.py client1@ix.mil «mysupersecretpsk»)
sudo python gosecure_server_install.py <client_id (i.e. client1@ix.mil)> <client_psk (i.e. "atleast16characterswithinquotes")>