Zvýšení zabezpečení a ochrany soukromí počítačové sítě s pomocí OpenBSD v roli síťového operačního systému na routeru

Abstract

Tato bakalářská práce se zabývá komplexním zabezpečením modelové organizační respektive rodinné počítačové sítě tvořené třemi geograficky dislokovanými podsítěmi propojenými technologií VPN s jednotnou a centralizovanou Wi-Fi autentizací protokolem EAP-TLS. Nedílnou součástí je softwarový návrh síťového routeru založeného na platformě arm64 a operačním systému OpenBSD doplněném o dynamický firewall, DNS server s funkcí AdBlock postaveném na kombinaci NSD a unbound, FreeRADIUS server a OCSP respondér pro certifikační autoritu. V další části jsou čtenáři stručně představeny základy symetrické a asymetrické kryptografie, aby se práce následně mohla v detailu věnovat zřízení dvouvrstvé infrastruktury veřejných klíčů vytvořené pomocí kryptografického toolkitu OpenSSL a vydání všech potřebných certifikátů. Je zde představen hardwarový bezpečnostní modul - USB token Gemalto SafeNet 5110 CC a jeho použití pod systémem Linux. Následně je na klíčích v něm vygenerovaných vystavěna robustní certifikační autorita založená na klíčích eliptické křivky prime256v1. V závěrečné části je představen ukázkový nízkopříkonový jednodeskový počítač NanoPi R4S disponující achitekturou arm64 a popsána instalace systému OpenBSD na tomto zařízení. Jednotlivé části celého řešení jsou analyzovány postupně v průběhu konfigurace. Součástí je také demonstrace připojení Linux, Android a Windows zařízení do sítě. Veškeré konfigurační soubory, klíče a certifikáty certifikační autority, diagramy a fotografie jsou součástí přílohy.

The aim of this thesis is to design complex high-level security measures for a model network of organization or family. The model network consists of three geographically dislocated subnets interconnected via VPN with unified and centralized Wi-Fi EAP-TLS authentication. A center point of the network is router built on OpenBSD with additional functions such as dynamic firewall, DNS server with AdBlock built on NSD & unbound, FreeRADIUS and OCSP responder for certificate authority. After a brief introduction to symmetric and asymmetric cryptography, the text describes the creation of robust two-tier Elliptic curve Public Key Infrastructure built on HSM module Gemalto SafeNet 5110 CC with OpenSSL toolkit. Each particular component of the solution is analyzed immediately during the configuration process. The last part of this thesis introduces single board low power arm64 platform NanoPi R4S and the installation of OpenBSD. All configuration files, demonstrative certificate authority, photos and diagrams are in the attachment.