goSecure — портативная виртуальная частная сеть

Перевод: Анна Давыдова
Источник: n0where.net

goSecure - портативная виртуальная частная сеть

Переносная виртуальная частная сеть goSecure

goSecure является простой в использовании и портативной виртуальной частной сетью (Virtual Private Network (VPN)).

Документация goSecure

Скачать goSecure

Данная система состоит из одиночного сервера и одного или более клиентов. strongSwan используется для установки туннеля Suite B IPsec с предварительно обменянными ключами между сервером и клиентом (ами). Реализация основного криптоанализа была проверена с помощью инструмента NSA Cryptol.

Компонент сервер является подключенным к нескольким сетям [laptop/server/cloud instance/Raspberry Pi], которые запускают strongSwan, используя NSA Commercial Solutions for Classified (CSfC) Руководящее пособие для защиты данных ограниченного доступа. Он построен на минимальном и защищенном экземпляре Linux в соответствии с DISA Техническими рекомендациями по внедрению системы безопасности (Security Technical Implementation Guides (STIGs)).

Компонент клиент является Raspberry Pi, который запускает strongSwan с помощью NSA CSFC (Руководящее пособие для защиты данных ограниченного доступа) и использует аппаратный генератор случайных чисел (Random Number Generator (RNG)). Он построен на минимальном и защищенном экземпляре Linux в соответствии с DISA STIGs.

На данный момент клиент поддерживает 3 режима работы:

  1. Ethernet (eth0) LAN – Wifi (wlan0) WAN
  2. Ethernet (eth1) LAN – Ethernet (eth0) WAN
  3. Wifi LAN (wlan0) – Ethernet (eth0) WAN

Необходимые условия

  • Аппаратное обеспечения
    • Ноутбук, настольный компьютер или сервер с 2 сетевыми интерфейсами. В этом примере мы будем использовать ноутбук, у которого есть только один Ethernet порт и внешний USB адаптер Ethernet (например, SIIG JU-NE0211-S1 USB 3.0 для Gigabit Ethernet или Apple USB 2.0 для Ethernet), чтобы добавить второй порт.
  • Программное обеспечение
    • CentOS 6.8 64-bit (минимальная): http://isoredirect.centos.org/centos/6.8/isos/x86_64/

Установка операционной системы

  1. Install CentOS 6.8 64-bit (минимальная)
  2. Настройка сети
Настройка внешней (Интернет) облицовки интерфейса и обновление ОС:
vi /etc/sysconfig/network-scripts/ifcfg-eth0
Change "ONBOOT=no" to "ONBOOT=yes" in the file.
service network restart
sudo yum install -y wget

Примечание: Если вы обладаете точно таким же адаптером SIIG USB-to-Ethernet, пожалуйста, перейдите в раздел «Установка драйвера (SIIG) «. В противном случае, пропустите раздел «Установка драйвера eth1 (SIIG)» и следуйте инструкциям, которые были предоставлены производителем вашего устройства USB-to-Ethernet для установки драйвера.

Установка драйвера eth1 (SIIG):
  • Убедитесь, что адаптер SIIG USB-to-Ethernet сейчас подключен.
wget http://www.siig.com/media/files/drivers/0010/02-1634d-linux-v1.13.0.zip
unzip 02-1634d-linux-v1.13.0.zip
cd Linux
tar -xf AX88179_178A_LINUX_DRIVER_v1.13.0_SOURCE.tar
cd AX88179_178A_LINUX_DRIVER_v1.13.0_SOURCE
make
make install
  • Отключите адаптер SIIG USB-to-Ethernet и подключите его снова.
Настройка внутренне облицовки (Enterprise) интерфейса:
cp /etc/sysconfig/network-scripts/ifcfg-eth0 /etc/sysconfig/network-scripts/ifcfg-eth1
vi /etc/sysconfig/network-scripts/ifcfg-eth1
Change "DEVICE=eth0" to "DEVICE=eth1"
Change the "HWADDR=<eth0 MAC address>" to "HWADDR=<eth1 MAC address>"

Примечание: Используйте точно такой же формат для MAC адреса, т.е. «00:00:BA:XX:XX:XX». MAC адрес для eth1 можно найти на обратной стороне SIIG USB-to-Ethernet адаптера.

Delete the "UUID" line.
Change "BOOTPROTO=dhcp" to "BOOTPROTO=static" in the file.
Add "IPADDR=172.16.166.1" and "NETMASK=255.255.255.0" to the bottom of the file.
service network restart
Запустите goSecure сервер установки сценария (Server Install Script)
cd ~
wget 

Примечание: замените два значения в команде, приведенной ниже, своими собственными значениями (т.е. sudo python gosecure_server_install.py [email protected] «mysupersecretpsk»)

sudo python gosecure_server_install.py <client_id (i.e. [email protected])> <client_psk (i.e. "atleast16characterswithinquotes")>

Оставьте комментарий