Título: OPENVPN.CU: UNA SOLUCIÓN VPN PARA LA PLATAFORMA ANDROID.

Transcripción

1 Título: OPENVPN.CU: UNA SOLUCIÓN VPN PARA LA PLATAFORMA ANDROID. Nombres y Apellidos: Ing. Alexander M. Martínez Saint-Ives, Ing. Camilo del Real Martell y M. Sc. Sacha Pelaiz Barranco. Institución: Complejo de Investigaciones Tecnológicas Integradas (CITI). Correo:amartinezs@udio.cujae.edu.cu; spelaiz@citi.cu. Resumen Las Redes Privadas Virtuales (VPN) son un método de protección del canal de comunicación ampliamente utilizado en la actualidad. OpenVPN es un proyecto Open Source que posibilita su modificación e implementaciones de seguridad propias para la generación y manejo de las VPNs. En este trabajo se presenta una aplicación propia, desarrollada a partir del proyecto ICS-OpenVPN, como alternativa de cliente VPN para la plataforma Android, que cada día gana más popularidad a nivel global. Abstract Virtual Private Networks (VPN) are a method widely used today for protecting the communication cannel. OpenVPN is an Open Source project that enables modification and own security implementations for the generation and management of VPNs. This paper presents a proper application developed from the ICS-OpenVPN project as an alternative to VPN client for Android platform, which is continually gaining global popularity. 1. Introducción OpenVPN [1] es un proyecto Open Source que puede ser implementado tanto para clientes como servidores VPN (del inglés: Virtual Private Network) basados en OpenSSL [2]. De las plataformas que pueden implementar sus funcionalidades se encuentra Android. Esta plataforma no provee los mecanismos óptimos para lograr una comunicación con mayor seguridad y privacidad desde un dispositivo móvil vía Wi-Fi. Por ende, para esta plataforma se desarrolló una App cliente VPN, con una suite de cifrado y configuraciones propias a partir del proyecto ICS- OpenVPN [7]. El resultado: OpenVPN.cu. Para un mejor entendimiento del funcionamiento de la app y de las modificaciones realizadas al proyecto, además como justificante de las variaciones realizadas,se expondrán los principios de una VPN.Es objetivo de este trabajo mostrar las modificaciones realizadas a OpenVPN y OpenSSL para

2 integrar al proyecto ICS-OpenVPN mecanismos de cifrado propios. Este desarrollo se validará a través de la app OpenVPN.cu como resultado final del trabajo. 2 Desarrollo 2.1 VPN: qué son? VPN es el acrónimo utilizado para definir un túnel cifrado entre dos dispositivos sobre una red insegura o de la que no se tiene control total, como internet por ejemplo. La VPN unifica las redes locales para crear una única red privada.para ser considerada como segura la VPN debe respetar los siguientes principios [5]: Confidencialidad o privacidad: o Los datos no pueden ser vistos de manera legible. o El túnel debe contar con los algoritmos de cifrado simétrico típicos: DES, 3DES, AES, Blowfish. Integridad: o Los datos no pueden ser alterados durante la transmisión. o El túnel debe contar con los algoritmos hash típicos: sha1, md5. Autenticación: o La VPN debe estar segura de la identidad de los dispositivos que intercambian información. o El túnel debe contar con los algoritmos asimétricos típicos: RSA, DH. La Figura1 muestra el estado de un paquete al viajar a través de la red LAN y la VPN.En este gráfico podemos sustituir los terminales desktop por un teléfono celular y mantiene el mismo sentido. Figura 1. Estado de un paquete al viajar por la VPN [6].

3 2.1.1 Implementaciones y tipos de VPN Existen diferentes tecnologías sobre las cuales puede ser implementada una VPN. El protocolo estándar es el IPSEC, pero también están PPTP, L2TP, L2F, SSL/TLS y SSH [9]. Cada uno con sus ventajas y desventajas en cuanto a seguridad, facilidad, mantenimiento y tipos de clientes soportados. Como en el trabajo actual se utiliza el protocolo SSL/TLS, veamos en la Figura 2 cuáles diferencias existen entre la tecnología utilizada e IPsec que es el estándar por defecto para la seguridad en redes como internet. Los aspectos señalados en rojo en la figura, fueron los determinantes para la decisión de trabajar sobre una solución VPN basada en el protocolo SSL/TLS. Entre los más importantes está que el protocolo IPsec está diseñado para ser implementado como una modificación a las capas de IP, de ahí que cada sistema operativo debe tener su propia implementación de IPsec [1]. Por el contrario, las soluciones basadas en SSL, tienen como ventaja adicional su portabilidad para varios sistemas, ampliando así la aplicabilidad de una implementación VPN con SSL. 2.2 OpenVPN OpenVPN es una solución libre para la implementación de Redes Privadas Virtuales basadas en SSL. Está liberado bajo la Licencia Pública General GPL versión 2. Esta solución incluye características que permiten configuraciones simples para túneles Punto a Punto, Acceso Remoto, VPNs sitio-a-sitio, seguridad para redes Inalámbricas Wi-Fi, además incluye funcionalidades de nivel empresarial para proveer balanceo de cargas, y controles de acceso. Permite conectar lugares externos de forma segura, además da la posibilidad de otorgar acceso remoto seguro a usuarios móviles para su acceso a los servicios de la red privada LAN. OpenVPN ofrece una alternativa ligera y económica a otras tecnologías VPN [3]. Esta solución combina la seguridad con la facilidad de uso, el diseño ligero de OpenVPN se deshace de muchas de las complejidades que caracterizan otras implementaciones VPN (ver 2.1.1). El modelo de seguridad de OpenVPN es basado en SSL, el estándar de la industria para comunicaciones seguras vía Internet [4]. OpenVPN implementa las extensiones 2 ó 3 del modelo OSI (del inglés: Open System Interconnection) usando los protocolos SSL/TLS (del inglés: Secure Sockets Layer/Transport Layer Security), soporta métodos flexibles de autenticación para los clientes basados en certificados, smartcards, y autenticación de doble factor, y permite políticas de control de acceso para usuarios o grupos en específico usando reglas de firewall aplicadas a la interfaz virtual VPN [3].

4 Figura 2. Comparación entre SSL/TLS e IPsec [10].

5 2.2.1 Características de OpenVPN OpenVPN ofrece las siguientes características fundamentales [1,6]: Solución VPN de clase empresarial basada en Software libre y GNU/Linux. Creación de túneles VPN para conexiones Punto a Punto, Sitio a Sitio y usuarios móviles. Utiliza como medio de transporte los protocolos TCP/UDP. Permite múltiples conexiones a una misma instancia sobre un único puerto TCP/UDP. Los túneles VPN funcionan sobre conexiones NAT y direcciones IP dinámicas. Basada en los estándares de la industria SSL/TLS para comunicaciones seguras y autenticación, usa todas las características de Open SSL para el cifrado, autenticación y certificación para proteger el tráfico privado de las redes mientras transita por Internet. Usa cualquier cifrado, tamaño de llave, o digest HMAC (para el chequeo de la integridad de los datagramas) soportados por la biblioteca OpenSSL. Cifrado flexible permitiendo elegir entre: o Cifrado convencional basado en llaves estáticas pre-compartidas. o Cifrado asimétrico usando llaves públicas basada en certificados x509. Permite usar llaves estáticas, pre-compartidas o llaves dinámicas basadas en TLS para el intercambio de llaves. Permite usar compresión del enlace en tiempo real y traffic-shapping (proceso de controlar el tráfico en redes de ordenadores para así lograr optimizar o garantizar el rendimiento, baja latencia) para administrar el uso de ancho de banda. Permite el uso de plugins para extender los mecanismos de autenticación. El servidor DHCP integrado en OpenVPN puede entregar la siguiente información de red a los clientes VPN: o Dirección IP Virtual dinámica o estática. o Dirección de servidores DNS. o Sufijo DNS. o Dirección de ruta del gateway predeterminado. o Servidor WINS (Del ingles: Windows Internet Naming Service). Integración con Firewall (netfilter/iptables) para filtrar tráfico de VPN->LAN

6 Soporte nativo de cliente para los siguientes sistemas operativos: GNU/Linux, Solaris, OpenBSD, NetBSD, FreeBSD, MS Windows XP, Vista y 7, Mac OSX yandroid. 2.3 VPN en Android Desde la versión 1.6 (Donut) de Android existe soporte para configurar VPN en los dispositivos que utilizan este sistema. En principio incluido en el sistema operativo con fines ofimáticos, ya que las VPN facilitan el acceso a los recursos y datos desde fuera de una entidad. Pero paulatinamente han surgido servicios asociados a las VPN en los que los dispositivos móviles por su naturaleza de portabilidad funcionan como potenciales clientes de servicios como torrents, navegación anónima y acceso a servicios de la red restringidos a una zona geográfica específica. Para cada uno de ellos (y otrosservicios que no se mencionan) es común denominador la necesidad de hacerlo de manera segura. Con las opciones nativas que ofrece Android no se puede alcanzar un nivel de personalización alto en aspectos críticos sobre la seguridad. Es por ello que se trabajó con el proyecto OpenVPN para lograr adaptar un módulo cliente trabajando fundamentalmente en la modificación de la suite criptográfica que ofrece OpenSSL. En la Figura3 se muestra la ubicación de SSL en el modelo OSI. Figura 3. SSL en el modelo OSI [6]. Capa sobre la cual se va a trabajar para incluir los nuevos mecanismos de cifrado. 2.4 Modificaciones hechas a OpenSSL y al proyecto ICS-OpenVPN Para adaptar el proyecto ICS-OpenVPN y extender sus funcionalidades con mecanismos de cifrado propios, es preciso adentrarse en el protocolo SSL. La inserción de nuevas características a OpenSSL se debe ejecutar sobre la capa Sub-Bibliotecas (ver Figura 4), es en ella donde se incluirán las implementaciones de ECMQV, y de los cifrados Gost, Serpent y Twofish. El mecanismo de inserción es descrito de forma explícita en el sitio web de documentación

7 de OpenSSL, incluyendo la configuración de los makefiles para que las nuevas sub-bibliotecas puedan ser compiladas [8]. Para posibilitar a OpenVPN el consumo de estos mecanismos, es preciso modificar las librerías libopenvpn.so, libopenvpnutil.so y libstlport_shared.so (señaladas en la Figura 5) para incluirlos al proveedor criptográfico.estas librerías se encuentran en código C. El sistema Android utiliza código Java, por lo que para poder utilizarlas es necesario compilar utilizando JNI (del inglés: Java Native Interface) para la arquitectura de procesadores de los dispositivos Android (ARM (del inglés: Advanced RISC Machine)). De cara al proyecto de Android, se modificaron los siguientes paquetes de clases: Paquetes Responsabilidad de.blinkt.openvpn.core Contiene las clases encargadas de la configuración de la VPN. de.blinkt.openvpn.fragments Contiene clases referentes a la UI. de.blinkt.openvpn.api Contiene las clases de interfaz de OpenVPN. de.blinkt.openvpn.activities Contiene las clases que controlan las actividades de la app. Tabla 1. Paquetes de clases modificados en ICS-OpenVPN. Figura 4. Diagrama de estructuración de capas de OpenSSL [8]. Señalada la capa Sub-Bibliotecas de OpenSSL.

8 Figura 5. Estructura de paquetes del proyecto. Señalada la ubicación de las librerías de OpenVPN OpenVPN.cu Como resultado de las modificaciones al proyecto ICS-OpenVPN se obtuvo la app OpenVPN.cu. Este cliente funciona con servidores Linux y utiliza el controlador TUN. El controlador TAP no está soportado en esta versión. La Figura 6. Sección de la UI modificada para definir el algoritmo de encriptación.

9 app utiliza la suite de OpenSSL modificada, y se le integró a la UIacceso a los nuevos modos del mecanismo de cifrado. La configuración de la VPN puede realizarse manualmente desde el dispositivo o importar alguna configuración utilizada en otro cliente OpenVPN (ver Figura 7). Esta app funciona con un módulo de servidor desplegado en Linux. Funciona en dispositivos con sistema Android con versión 4 o superior. Figura 7. Archivo de configuración generado a partir de las opciones modificadas desde la UI. También se puede hacer manualmente e importarlo a la app. La suite de cifrado utilizada por el servidor debe ser la misma en el lado del cliente. La configuración de cifrado y firma del servidor debe coincidir con la configuración del cliente. La app permite hacer más de una configuración VPN.

10 2.4.2 Consideraciones de seguridad. OpenVPN ha sido objeto de ataques de seguridad, por lo que son necesarias algunas consideraciones acerca de la app OpenVPN.cu. Todos los datos en la tarjeta SD son inseguros ya que cualquier aplicación puede leerla. Al utilizar la opción importar para el certificado de la CA/certificado/llave, en la ventana de diálogo para selección de archivos, los datos se almacenan en el perfil de la VPN. Los perfiles de VPN sólo son accesibles por esta aplicación. (Se recomienda borrar de la SD luego de ser importadas). Aunque sólo sea accesible por esta aplicación, los datos aún están sin cifrar. Al acceder el dispositivo portátil como usuario root u otra vía fuera de las normas del sistema, es posible recuperar estos datos. Las contraseñas guardadas son almacenadas también en texto plano. Para archivos pkcs12 es recomendable que se importen al repositorio de llaves de Android. 3 Conclusiones El proyecto ICS-OpenVPN provee la base para generar nuevos clientes VPN a partir de los estándares del proyecto original OpenVPN. Los cambios realizados para el proyecto OpenVPN.cu brindaron como producto final, una app cliente VPN, cuyo valor principal radica en que utiliza una distribución propia de OpenSSL para el manejo de la VPN. Se lograron adaptar los nuevos mecanismos de cifrado incluidos en el proveedor criptográfico como una nueva funcionalidad en la app, logrando una mayor personalización en el aspecto criptográfico para la transmisión de los datos a través de la VPN. 4 Bibliografía [1] [2] [3] [4] [5] [6] [7] [8] C. J. del Real Martell, OpenSSL.cu: distribución propia de OpenSSL, La Habana, [9] Markus Feilner, Beginning OpenVPN 2.0.9, Mumbai [10] P. Chandra, M. Messier y J. Viega, Network Security with OpenSSL, O Reilly, 2002, p. 384.