Απομακρυσμένη σύνδεση και ασφάλεια στο γραφείο, με χρήση pfSense Firewall, DuckDNS, OpenVPN και VNC

Έχω υποσχεθεί σε συναδέλφους, έναν οδηγό για δημιουργία ασφαλής και δωρεάν σύνδεσης στο γραφείο μας, ώστε να δουλεύουμε από απόσταση με ασφάλεια, να λειτουργούν οι λογιστικές εφαρμογές μας (τερματικά) σαν να είμαστε εκεί (στο γραφείο) και να αντικαταστήσουμε τα TeamViewer και AnyDesk με κάτι πιο ασφαλές, πχ το VNC μέσω LAN IP Address

Επίσης σήμερα κλείνουμε 11 χρόνια λειτουργίας, οπότε σας τον κερνάμε 🙂

Για την κατανόηση του οδηγού πρέπει να μάθουμε κάποιες ορολογίες.


α) Modem
Είναι η συσκευή που διαχειρίζεται το σήμα από την τηλεφωνική πρίζα.


β) Router
Είναι η συσκευή που αξιοποιεί την διαχείριση που κάνει το Modem και μας συνδέει στο LAN και στο WAN
* Οι συσκευές που έχουμε από τον πάροχο ίντερνετ είναι και τα δύο. Και Modem και Router

γ) WAN (Wide Area Network)
Για αυτόν τον οδηγό είναι το Ίντερνετ

δ) LAN (Local Area Network)
Είναι το δίκτυο που αποτελείται από τους υπολογιστές του γραφείου μας, συνήθως συνδέονται με καλώδιο Ethernet ή με Wifi στο Modem – Router μας. Όσοι υπολογιστές είναι στο LAN μπορούν και μιλάνε μεταξύ τους, τρέχουν κοινά προγράμματα πχ Έσοδα Έξοδα, Μισθοδοσία κτλ.

ε) VPN (Virtual Private Network)
Είναι ένα ιδιωτικό δίκτυο που μπορούμε να κατασκευάσουμε με χρήση λογισμικού και αποτελείται από υπολογιστές που μπορεί να μην βρίσκονται στον ίδιο χώρο, αλλά επικοινωνούν μεταξύ τους σαν να είναι σε LAN
Δηλαδή με λίγα λόγια θέλουμε να πετύχουμε, να κάνουμε διπλό κλικ στην λογιστική μας εφαρμογή από το σπίτι, αυτή να ανοίγει, να μιλάει με τον server που έχουμε στο γραφείο και να ανταποκρίνεται φυσιολογικά, σαν να είμαστε στο γραφείο μας.

στ) IP Address (Internet Protocol Address)
i.  Τοπική IP είναι η διεύθυνση που δίνει το Router στις συσκευές που συνδέονται στο LAN μας. Π.χ. 192.168.1.50, 192.168.1.51, 192.168.1.52 κ.ο.κ.
ii. Εξωτερική IP είναι η διεύθυνση που δίνει ο πάροχος Internet στην σύνδεση μας. Π.χ. 79.167.145.150 | Μπορούμε να την δούμε αν πατήσουμε εδώ
https://www.whatismyip.com/my-ip-information/
Η Εξωτερική IP μας:
α) Μπορεί να είναι στατική (Static IP) δηλαδή να είναι κατοχυρωμένη από εμάς και να είναι πάντα ή ίδια όταν συνδέεται το Router μας στο ίντερνετ.
* δεν προτείνεται γιατί αν μας βάλει κάποιος στόχο, ξέρει πάντα πως να μας βρει και συχνά έχει χρέωση.
β)  Μπορεί να είναι δυναμική (Dynamic IP) δηλαδή να αλλάζει σε κάθε νέα σύνδεση του Router μας με το ίντερνετ.
Προτείνεται γιατί είναι δωρεάν, αν μας βάλει κάποιος στόχο, αρκεί να ανοιγοκλείσουμε το Modem για να αλλάξει. Επίσης με την βοήθεια ενός Dynamic DNS μπορεί να γίνει στατική για όσο χρόνο θέλουμε εμείς.

ζ) Dynamic DNS (Domain Name Server)
Είναι μια υπηρεσία που μας βοηθάει να μετατρέψουμε την Εξωτερική  IP μας από νούμερα σε γράμματα. πχ από 79.167.145.150 να την κάνουμε: eimai-o-kalyteros-logistis.duckdns.org ώστε να το θυμόμαστε.

η) Firewall
Λογισμικό  ασφαλείας που μεταξύ άλλων κάνει και Routing.

Υλοποίηση


Σενάριο Α Αξιοποίηση VPN Windows μέσω πρωτοκόλλου PPTP 
Βαθμός δυσκολίας «Εύκολο» | Βαθμός Ασφαλείας «Καθόλου Ασφαλές» | Δεν το προτείνω | Κόστος λογισμικού 0,00 ευρώ | Κόστος εξοπλισμού 0,00 ευρώ
Υπάρχουν αρκετοί οδηγοί
https://support.microsoft.com/el-gr/help/20510/windows-10-connect-to-vpn
https://pureinfotech.com/setup-vpn-server-windows-10/
Αν επιλέξουμε τους παραπάνω οδηγούς, αφήνουμε κάποιον υπολογιστή Α, συνήθως τον server του γραφείου μας, να δέχεται εξωτερικές συνδέσεις και καλούμε με τον ενσωματωμένο VPN Client των windows 10 από τον υπολογιστή Β του σπιτιού μας, την Εξωτερική IP του γραφείου μας, στην θύρα 1723
π.χ. 79.167.145.150:1723
Έτσι φτάνει ένα πακέτο από το ίντερνετ στο Router μας που προέρχεται τον Β το οποίο πρέπει να προωθηθεί στον Α και μετά εισάγοντας τα σωστά username και password, ο υπολογιστής Β θα ενταχθεί στο LAN μας.
Πως θα γίνει αυτό; Θα πρέπει να πάμε στο περιβάλλον του Router μας, στην ενότητα Port Forward και να ορίσουμε ότι όλα τα πακέτα που έρχονται στην θύρα 1723 να προωθούνται στην εσωτερική IP του Α πχ 192.168.1.50

Εδώ είναι και το κενό ασφαλείας. Θα έχουμε μια πόρτα συνεχώς ανοιχτή προς τον server μας και κάποιος επιτιθέμενος αν μαντέψει, μετά από 1000αδες αυτόματες προσπάθειες, τα username και password μας θα καταλάβει τον υπολογιστή μας.
Δείτε εδώ γιατι δεν πρέπει να το χρησιμοποιείτε το PPTP.
Επίσης αν χρησιμοποιείτε τα Teamviewer και AnyDesk, αν σας υποκλέψουν τα id και pass, είσαστε στο έλεος των εισβολέων.

Σενάριο Β Εγκατάσταση ενός VPN Server που να υποστηρίζει πιστοποιητικά
Βαθμός δυσκολίας «Για προχωρημένους» | Βαθμός Ασφαλείας «Πολύ Ισχυρός» | Το προτείνω | Κόστος λογισμικού 0,00 ευρώ | Κόστος εξοπλισμού 0,00 ευρώ – 350 ευρώ

Σε αυτό το σημείο φτάσαμε στο κυρίως θέμα του οδηγού, αφού τα παραπάνω ήταν εισαγωγικά ώστε να κατανοήσουμε τον τρόπο λειτουργίας.
Ξεκινώντας πρέπει να αναφέρω ότι
α)Τα modem – routers που μας δίνουν οι πάροχοι, στην ουσία είναι μικροί υπολογιστές με software και hardware.
β) Για τις περισσότερες επιτυχημένες επιθέσεις από έξω, υπαίτια είναι τα φτηνά και απαξιωμένα modem – routers που δίνουν τζαμπέ οι πάροχοι, αφού λόγω του ότι είναι και τζάμπα κανείς δεν ασχολείται μαζί τους στα ώστε να αναπτύξει μέσα τους ένα σοβαρό λογισμικό ασφάλειας.
γ) Όλοι οι ειδικοί δικτύων και ασφάλειας, συμφωνούν σε ένα πράγμα. Αν σε ενδιαφέρει η ασφάλεια σου, μην αφήνεις το δωρεάν Modem του παρόχου σου να είναι και Router.
Φτάσαμε στο σημείο όταν ξεχνάμε τον κωδικό του, να μπαίνει μέσα η ίδια η εταιρεία και να τον αλλάζει…

Αφού λοιπόν δεν πρέπει να είναι το τζάμπα Modem μας και Router τι πρέπει να κάνουμε;
Να βάλουμε ενδιάμεσα στο Modem και στο LAΝ μας ένα Firewall – Router.


Το Router αυτό μπορεί να είναι ένας παλιός υπολογιστής ή ένα παλιό λάπτοπ ή κάποια πλακέτα ώστε να μην καεί πολύ ρεύμα.
Φυσικά το Router χρειάζεται και ένα Software, υπάρχουν πολλά εξαιρετικά λογισμικά για ασφαλές Routing, τα οποία είναι και δωρεάν και ονομάζονται Firewalls

Τα καλύτερα είναι:

To pfSense που είναι και το πιο δημοφιλές.

Εμείς στο γραφείο χρησιμοποιούμε το OPNsense  που βασίστηκε στο pfSense, γιατί έχει καλύτερη υποστήριξη στην συσκευή που χρησιμοποιούμε.

Το IPfire είναι πάρα πολύ σταθερό αλλά με λίγο λιγότερες λειτουργίες.

To OpenWRT είναι άλλο ένα σοβαρό λογισμικό

Το Sophos XG Firewall Home Edition δεν το έχω δοκιμάσει αλλά ακούω ότι είναι από τα καλύτερα.


Αν επιλέξουμε το pfsense (προτείνεται) υπάρχουν ΠΑΝΤΟΥ οδηγίες εγκατάστασης σε κάθε είδους συσκευή
https://www.pfsense.org/getting-started/
https://www.tecmint.com/how-to-install-and-configure-pfsense/
https://www.udemy.com/pfsense-for-dummies-setup-and-configure-your-own-firewall/

Εναλλακτικά για μη προχωρημένους χρήστες, πωλούνται συσκευές που τρέχουν pfSense από τον κατασκευαστή. Η παρακάτω ονομάζεται SG-1100 pfSense και πωλείται απευθείας από τους δημιουργούς του pfSense.


Στην Ελλάδα μπορείτε να βρείτε μία εδώ
η οποία κοστίζει από 300 – 350 ευρώ, αλλά σε 3 χρόνια θα έχετε κάνει απόσβεση λόγω κατανάλωσης ρεύματος από το να χρησιμοποιήσετε έναν παλιό υπολογιστή.
Όταν λοιπόν εγκαταστήσουμε το pfSense Firewall ανάμεσα στο ίντερνετ και το LAN μας, μπορούμε να σηκώσουμε πάνω του έναν OpenVPN server ώστε να συνδέουμε, όπως είπαμε στην αρχή, κάποιον υπολογιστή Β που βρίσκεται εκτός γραφείο, στο LAN του γραφείο μας.
Οδηγίες για την χρήση αυτής της λειτουργίας υπάρχουν με λεπτομέρειες:
https://docs.netgate.com/pfsense/en/latest/vpn/openvpn/index.html
https://turbofuture.com/computers/How-to-Setup-a-Remote-Access-VPN-Using-pfSense-and-OpenVPN
https://nordvpn.com/tutorials/pfsense/pfsense-openvpn/
https://www.youtube.com/watch?v=7rQ-Tgt3L18
Αν διαβάσει κανείς τους οδηγούς αυτούς, θα διαπιστώσει ότι δεν αρκεί ένα username και password για να συνδεθεί κάποιος επιτιθέμενος στο LAN μας, αλλά θα πρέπει να χρησιμοποιήσει και ένα πιστοποιητικό, το οποίο δεν μπορεί με τίποτα να μαντέψει. Ακόμη όμως και αν το υποκλέψει δεν θα έχει το extraPIN, που μπορούμε να ορίσουμε να έρχεται στο κινητό μας, ώστε να συνδεθεί στο LAN μας.

Όταν λοιπόν συνδεθούμε στο LAN μας μέσω ενός OpenVPN client , εκτός ότι όλες οι λογιστικές μας εφαρμογές θα τρέχουν κανονικά, ασχέτως που είμαστε εκτός γραφείου, θα μπορούμε να αντικαταστήσουμε τα TeamViewer και AnyDesk με άλλα που να λειτουργούν μόνο μέσω LAN
Ένα από αυτά είναι το παλιό και καλό VNC
Και οδηγίες εγκατάστασης υπάρχουν εδώ.

Συμπεράσματα.
Με την δημιουργία Firewall με OpenVPN server όχι μόνο αναβαθμίζουμε γενικώς την ασφάλεια του γραφείου μας αλλά και δεν επιτρέπουμε την είσοδο στο LAN μας κανενός, με μόνο την χρήση ενός username και ενός password που μπορεί να υποκλέψει ή να μαντέψει.

Μπορούμε να ρυθμίσουμε τον OpenVPN server μας να αρνείται την πρόσβαση σε κάποιον ακόμη και αν έχει υποκλέψει τα username, password ακόμη και το πιστοποιητικό μας.
Είναι δυνατόν να παίρνουμε στο κινητό μας ένα extraPIN κάθε φορά που θέλουμε να συνδεθούμε, όπως περίπου συμβαίνει στο ebanking.
https://vorkbaard.nl/how-to-set-up-openvpn-with-google-authenticator-on-pfsense/

Προσωπικά συστήνω την αγορά έτοιμης συσκευής σε μη προχωρημένους χρήστες, αλλά την δημιουργία από το μηδέν στους προχωρημένους, ώστε μέσω της υλοποίησης να μάθουν και να εκπαιδευτούν στις πραγματικά απεριόριστες δυνατότητες αυτών των δωρεάν εφαρμογών. Π.χ. να μπλοκάρουν της διαφημίσεις σε όλο τους το LAN. Ή να μπλοκάρουν την πρόσβαση στο facebook ή πορνογραφικές σελίδες, σελίδες ναρκωτικών κτλ Ή να απαγορεύει το κατέβασμα αρχείων .exe, .bat κτλ.

Η συσκευή που χρησιμοποιούμε εμείς είναι η PC Engines apu2d4 με 2 κεραίες, ώστε να μπορούμε να έχουμε άλλο wifi για εμάς και άλλο για τους πελάτες, η οποία κοστίζει περίπου 250 ευρώ.

Το μόνο πρόβλημα που υπάρχει είναι ότι αυτή η συσκευή δεν έρχεται με προεγκατεστημένο λογισμικό αλλά πρέπει να το εγκαταστήσεις εσύ μέσω σειριακής θύρας και γραμμής εντολών.

Για αυτό και προτείνουμε στους απλούς χρήστες την αγορά μιας συσκευής με προεγκατεστημένο το pfSense πχ όπως είπαμε παραπάνω του Netgate SG-1100 pfSense.
Επίσης επικοινωνήσαμε με την εταιρεία https://cybertraffic.gr που διαθέτει
Netgate SG-1100 pfSense και μπορούν και να σας το παραδώσουν το με έτοιμο και τον OpenVPN server + Dynamic DNS (προτείνω τον duckdns.org), και επίσης να σας κάνουν και μία καλύτερη τιμή αν αναφέρετε ότι τους βρήκατε μέσω του οδηγού μας.

Τέλος αν δεν σας αρέσει το Netgate SG-1100 pfSense και θέλετε μια άλλη λύση ή θέλετε έχετε δίπλα σας έναν τεχνικό, ή μπορεί να επιθυμείτε ένα πιο xtreme look όπως το παρακάτω,

μπορείτε να ψάξετε μόνοι σας και να αγοράσετε πχ ένα Router που υποστηρίζει OpenVPN μέσω πχ OpenWRT από το κατάστημα H/Y που συνεργάζεστε και να μας στείλετε και τις εντυπώσεις σας.

Ευχαριστώ που ενημερωθήκατε και σας ενδιαφέρει ένα πιο ασφαλές ίντερνετ.

Άδεια Creative Commons

Αυτό το έργο χορηγείται με άδεια Creative Commons Αναφορά Δημιουργού 4.0 Διεθνές .




Αφήστε μια απάντηση