openmg secure module что это
Minidisc FAQ
Вопросы про NetMD
2. Что вы подразумеваете под словами “расширение формата”?
NetMD оборудование требует использование соответствующего программного обеспечения для управления и передачи данных. Благодаря стандартизации USB протокола PC<->MD, Sony реализовала совместимость между NetMD оборудованием и программами NetMD от различных изготовителей ПО.
3. Какие существуют программные пакеты NetMD?
— RealOne w/NetMD Plugin (для RealAudio/Windows). RealAudio анонсировала NetMD плагин для их потокового/MP3 проигрывателя. Плагин можно скачать совместно со свободной версией RealOne следуя приведенным ниже инструкциям:
— В меню “Tools” нажмите “Check for Update”
— В окне “AudioUpdate” нажмите “Devices”
— Выберите “Sony Music Devices Plug-in” и нажмите “Install”
— Когда установка закончится, нажмите “Ok” для перезапуска RealOne Player
— OpenMG Jukebox 2.2 (для Sony/Windows). Это основная программа, которую Sony поставляет совместно со своим NetMD оборудованием. Она также вкладывается в комплект с проигрывателями (MemoryStick и Network Walkman). Программа позволяет скачивать сжатый звук на устройство NetMD, равно как подписывать и перенумеровывать дорожки. OpenML Jukebox поддерживает концепцию SDMI дополнительной проверки при записи. На минидиск можно закачать только три копии, затем программа потребует удаление одной из копий с минидиска.
— Simple Burner (для Sony/Windows). Программа поставляется с американскими NetMD устройствами, при этом ее можно скачать и отдельно. Программа упрощает перекачивание дорожек с аудио CD в приводе ПК на минидиск. Дополнительная проверка SDMI здесь отсутствует.
— Beat Jam (для JustSystem Inc/Windows). Поставляется с NetMD устройствами Panasonic.
— Open/NMD Project (для Unix, Linux и MacOS). Находится в разработке, сегодня поддерживает название дорожек и переименование через командную строку.
— Muria (для Kenwood/Windows). Поставляется с Kenwood MDX-J9 NetMD.
5. Какие ограничения накладывает NetMD?
— Защищенные дорожки. Аудио дорожки, закаченные на минидиск с помощью OpenMG Jukebox и BeatJam, помечаются как “защищенные” и не могут быть удалены или разделены большинством минидисковых устройств. Это могут сделать только лишь поддерживающие NetMD устройства с соответствующим ПО. (Такая функция, к сожалению, ограничивает гибкость дисков с NetMD дорожками до уровня MP3 проигрывателей с флешем). Дорожки, закачанные с помощью Simple Burner, не имеют такого ограничения и работают как обычные MD дорожки.
— Передача данных только с ПК на MD. Возможно только лишь передача звука (ПК->MD). Такое ограничение, по всей видимости, связано с авторскими правами. Поэтому передача звука с MD на ПК невозможна. Если вы не согласны с этим, то можете подписать соответствующую петицию.
— Качество SP-режима не доступно. Пользователи могут создавать SP, LP2 и LP4 дорожки на минидиске с помощью OpenMG Jukebox, однако импортируемый в OpenMG Jukebox аудио поток (из CD, MP3 источников) конвертируется и хранится на ПК только лишь в формате LP2 и LP4 ATRAC3 файлов. Так что если даже эти дорожки и закачивать потом на MD в режиме SP, они не будут превосходить качество LP. Через Simple Burner можно закачивать дорожки только в режимах LP2 и LP4.
6. Что известно об информации, которая передается через USB соединение?
Полный взлом NetMD пока еще не осуществлен. Вот что известно на сегодняшний момент:
— Известны элементы протокола. Open/NMD проект документирует протокол по мере его исследования.
— Шифрованная PCM передача для дорожек в SP режиме. Судя по экспериментам Ланца Бирча, по всей видимости, когда программа NetMD создает дорожки на минидиске в режиме SP, то программа распаковывает [всегда сжатые в LP2 или LP4] данные ПК в стандартный 16-битный 44,1 кГц PCM аудио поток, затем шифрует его и закачивает. Факт закачки в PCM потоке очень радует, поскольку теоретически существует возможность закачки звука с качеством режима SP, если научить этому программу. Сегодняшние NetMD записывающие устройства поддерживают только лишь 1,6x закачку для дорожек в SP режиме, однако 12 Мбит/с USB 1.1 позволят закачивать со скоростью до 8x. Для этой цели можно использовать технологию 4x CD->MD перекачки в Sony MXD-D40.
PCM данные шифруются при передаче, поскольку Sony пытается предотвратить незаконный доступ к «закрытому» ATRAC3 контенту, который можно покупать в онлайновых магазинах. Взлом PCM шифра позволит хакерам легко получать «открытые» копии песен.
— Передача LP2/LP4 данных происходит открыто. Как показали эксперименты Бирча, при записи LP2/LP4 дорожек данные передаются блоками по 4096 байт, причем их содержание аналогично файлам на ПК.
4. Выберите виртуальный CD привод F в Simple Burner и закачайте файлы на минидиск.
5. Когда все сделаете, сотрите.nrg файл.
Для пользователей Windows Millenium Edition Использование п.
Для пользователей Windows Millenium Edition
Использование программы SonicStage в среде Windows Millenium Edition
Если вы используете функцию System Restore (восстановление системы) System Tools
Windows (системные инструменты), звуковая информация, управляемая программой
SonicStage, может быть повреждена и ее будет невозможно воспроизвести.
Перед выполнением процедуры восстановления системы, вы должны сделать резерв
ные копии всех звуковых файлов и затем восстановить их, после завершения восста
новления системы.
За более подробной информацией о процедуре резервного копирования обращай
тесь к оперативной помощи on line.
Примечание
Восстановление данных резервного копирования требует доступа в Интернет.
Если звуковой файл невозможно воспроизводить, после восстановления системы,
может появиться диалоговое окно с сообщением об ошибке. Если это произойдет,
выполняйте указания данные в этом сообщении.
Для пользователей Windows 2000
Ограничения при работе программы SonicStage под Windows 2000
• Для установки данной программы вы должны войти в систему с именем пользова
теля, имеющего права администратора (Admimistrator).
• Для того, чтобы пользоваться программой, вы должны войти в систему с именем
пользователя, имеющего права администратора (Admimistrator) или опытного
пользователя (Power User).
• Из всех версий Windows 2000 программ SonicStage поддерживается только
Windows 2000 Professional.
• В Windows 2000 Professional (предустановленной) форматом NTFS можно пользо
ваться только в стандартных (заводских) установках.
Для пользователей Windows 98 Second Edition
Импорт в компьютер файлов формата MP3 или воспроизведение на
компьютере файлов формата WAV
Для импорта файлов формата MP3 или воспроизведения на компьютере файлов
формата WAV требуется Microsoft Media Player Версии 7.0 или выше. Пользователи
более ранних версий могут загрузить самые последние версии с веб сайта компании
Microsoft ( http://www.microsoft.com).
Для пользователей компьютеров с установленнымипрограммами O.
Для пользователей компьютеров с установленными
программами OpenMG Jukebox, SonicStage или SonicStage
Premium
Проверьте, были ли переписаны из компьютера какие либо треки.
Если треки были переписаны OpenMG Jukebox более ранней версии SonicStage или
SonicStage Premium, необходимо переписать их обратно с помощью программы SonicStage
Версии 1.5. Рекомендуется переписать обратно все треки до установки программы
SonicStage Версии 1.5.
До установки программы SonicStage Версии 1.5 проверьте следующее:
Установленные элементы и процедура будет зависеть от того, какое программное
обеспечение установлено на компьютере.
Для пользователей с установленной программой OpenMG Jukebox
Звуковые файлы, записанные с помощью OpenMG Jukebox Версии 2.2, будут автоматически
конвертированы в файлы SonicStage Версии 1.5. В целях безопасности рекомендуется
выполнить резервное копирование звуковых данных с помощью соответствующей процедуры
перед выполнением установки новой версии SonicStage (Версии 1.5).
Для пользователей с установленной предыдущей версией SonicStage
Звуковые файлы, записанные с помощью OpenMG Jukebox Версии 2.2, будут автоматически
конвертированы в файлы SonicStage Версии 1.5. В целях безопасности рекомендуется выпол
нить резервное копирование звуковых данных с помощью соответствующей процедуры перед
выполнением установки новой версии SonicStage (Версии 1.5).
Для пользователей с установленной программой SonicStage Premium
Установите программу SonicStage Версии 1.5.
Программа OpenMG Jukebox Версии 1.0 2.1 будет
автоматически удалена с компьютера и заменена.
OpenMG Jukebox Версии 2.2 и SonicStage Версии 1.5
могут сосуществовать на одном компьютере.
Если вы устанавливаете SonicStage Версии 1.5, OpenMG
Jukebox Версии 2.2 будет автоматически обновлена
последней версией.
Установите программу SonicStage Версии 1.5.
Более ранняя версия будет автоматически удалена
с компьютера и заменена)
Установите программу SonicStage Версии 1.5. SonicStage
Premium и SonicStage Версии 1.5 могут сосуществовать
на одном компьютере.
Место на жестком диске, Спящий режим системы (suspend/hibernation), Резервное копирование аудиоинформации
Предосторожности по поводу сосуществования SonicStage Версии 1.5
и OpenMG Jukebox Версии 2.2 или SonicStage Premium
• Убедитесь, что иконка программы OpenMG Jukebox Версии 2.2 не показывается
в панели задач. Если эта иконка присутствует, Net MD может не распознаваться
компьютером.
• Звуковые данные, записанные в компьютере, хранятся в виде общих файлов и
используются двумя приложениями. Таким образом, если вы удалите один файл
(например, один альбом) в одном приложении, он будет также удален и в другой
программе.
Предосторожности по поводу работы на компьютере с установленными
программами OpenMG Jukebox Версий 1.0 2.1 или SonicStage Версий 1.0 1.2
После установки SonicStage Версии 1.5, обратите внимание на то, что программа
SonicStage Версии 1.5 не должна быть заменена программами OpenMG Jukebox
Версий 1.0 2.1 или SonicStage Версий 1.0 1.2, поскольку в результате вся звуковая
информация, записанная на жестком диске (Music Drive), может быть утеряна.
Если вы по ошибке начали установку OpenMG Jukebox Версий 1.0 2.1 или SonicStage
Версий 1.0 1.2, немедленно остановите ее.
Место на жестком диске
Для установки программы свободное место на жестком диске должно состав
лять не менее 120 MB.Если свободного места недостаточно, программа не будет
установлена должным образом.Точный размер свободного места зависит от
версии операционной системы Windows и количества аудиофайлов,которыми
вы оперируете.
Спящий режим системы
(suspend/hibernation)
• Если компьютер вы переключаете в спящий режим системы (suspend/hibernation)
во время записи CD или передачи файлов данных в компьютер/из компьютера,
звуковая информация может быть утеряна или компьютер может не восстановить
свои функции правильно. Поэтому функция спящего режима системы
(suspend/hibernation) должна быть отключена.
• Если вы поменяете носитель во время нахождения компьютера в спящем режиме
системы (suspend/hibernation), звуковая информация может быть утеряна,
после возвращения компьютера в нормальный режим.
• Если компьютер переключится в спящий режим системы (suspend/hibernation), он
может не распознавать NetMD, после возвращения к нормальной работе.
Если это произошло, отсоедините кабель USB и затем снова подсоедините его.
Резервное копирование аудиоинформации
Перед выполнением любых процедур, затрагивающих непосредственно операционную
систему (например, восстановление системы), вы должны выполнить резервное копи
рование с помощью SonicStage backup tool (резервное копирование), предварительно
выбрав пуск [Start] программы [Programs] Sonic Stage
Удаление с компьютера программного обеспеченияSonicStage Дл.
Удаление с компьютера программного обеспечения
SonicStage
Для того, чтобы удалить программу SonicStage с компьютера, выполните следующие
операции.
Для пользователей Windows XP
Войдите в систему с именем пользователя, имеющего права администратора
компьютера.
Обратитесь к инструкциям по эксплуатации своего компьютера за более подробной
информацией по поводу входа в систему с правами администратора.
Щелкните пуск [Start] панель управления [Control Panel].
Появится окно панели управления (Control Panel).
Дважды щелкните установка/удаление программ [Add/Remove
Появится диалоговое окно установка /удаление программ (Add/Remove
Programs).
Щелкните изменение или удаление программ [Change or Remove
В списке установленных программ щелкните [SonicStage 1.5.XX]
и затем щелкните изменение или удаление программ [Change or Remove
Programs].
В списке установленных программ щелкните [OpenMG Secure Module
и затем щелкните изменение или удаление программ [Change or
Выполните появившиеся инструкции и перезагрузите компьютер.
Удаление программы завершается после перезагрузки.
Если на компьютере SonicStage Версии 1.5 сосуществует с программой OpenMG Jukebox
Версии 2.2 или SonicStage Premium, а вы удаляете одну из них, не удаляйте [OpenMG
Secure Module 3.1], поскольку эта программа используется обоими приложениями.
Для пользователей Windows Millenium/Windows 98 (второе издание)
Щелкните пуск [Start] настройка [Settings] панель управления
Появится окно панели управления (Control Panel).
Дважды щелкните установка.
Дважды щелкните установка/удаление программ [Add/Remove Programs].
Появится окно свойства: установка/удаление программ [Add/Remove Programs
Properties].
В списке программ для автоматического удаления щелкните [SonicStage
1.5.XX] и затем щелкните добавление/удаление [Add/Remove].
В списке программ для автоматического удаления щелкните [OpenMG
Secure Module 3.1] и затем щелкните добавление/удаление [Add/Remove].
Выполните предлагающиеся рекомендации и перезагрузите компьютер.
Удаление программы завершается после перезагрузки.
Для пользователей Windows 2000
Войдите в систему как администратор и выполните следующее.
Обратитесь к инструкциям по эксплуатации компьютера за более подробной
информацией по поводу входа в систему с правами администратора.
Щелкните пуск [Start] настройка [Settings] панель управления
Появится окно панели управления (Control Panel).
Дважды щелкните установка/удаление программ [Add/Remove
Появится диалоговое окно установка /удаление программ [Add/Remove
Programs].
Щелкните изменение или удаление программ [Change or Remove
В списке установленных программ щелкните [SonicStage 1.5.XX]
и затем щелкните изменение/удаление [Change/Remove].
В списке установленных программ щелкните [OpenMG Secure Module
и затем щелкните изменение/удаление [Change/ Remove].
Выполните предлагающиеся рекомендации и перезагрузите компьютер.
Удаление программы завершается, после проведения перезагрузки.
Если на компьютере SonicStage Версии 1.5 сосуществует с программой OpenMG Jukebox
Версии 2.2 или SonicStage Premium, а вы удаляете одну из них, не удаляйте [OpenMG
Secure Module 3.1], поскольку эта программа используется обоими приложениями.
Устранение неисправностей
Если вы столкнетесь с какой либо проблемой при использовании программы
SonicStage, пожалуйста, выполните следующие действия. Если появятся какие либо
сообщения, рекомендуем записать их.
1: Проверьте симптомы в разделе «Устранение неисправностей».
Необходимую информацию можно также найти в инструкции по работе программы
и в разделе «Установки и меры предосторожности» (стр. 100).
2: Проверьте симптомы в оперативной помощи on line SonicStage 1.5
(стр. 98).
В оперативной помощи on line обратитесь к подразделу «Устранение неисправностей»
в разделе «Дополнительная информация».
Полезную для себя информацию можно найти и в других разделах оперативной
помощи on line.
3: Если проблема не решена даже после обращения к указанной выше
справочной информации.
Заполните следующую таблицу и проконсультируйтесь у ближайшего дилера
компании Sony.
Название операционной системы
Жесткий диск (содержащий программу Sonic Stage и звуковые данные)
Папка на диске, содержащая SonicStage (если это не папка по умолчанию)
Версия программного обеспечения (SonicStage Ver. 1.5)
Сообщение об ошибке (если появилось) :
В случае, если используется внешний привод CD ROM
• Тип: CD ROM/CD R/RW/DVD ROM/Иной ( )
• Тип подсоединения к компьютера: PC card/USB/IEEE1394/иной ( )
Если используются другие устройства с соединением USB
• Название устройства (устройств)
Если вы не определяете директорию назначения, программа устанавливается в
C:\Program Files\Sony\SonicStage.
Для проверки версии программного обеспечения SonicStage выберите [Menu] (меню)
[About Sonic Stage] (о программе SonicStage) в окне программы SonicStage и просмот
рите информацию о версии на поставляемом CD ROMе.
Если компьютер не распознает net md, Если установка программы не была успешной
Если компьютер не распознает Net MD
• Правильно ли подсоединен NetMD к компьютеру?
–– Если соединение NetMD и компьютера непрочное, NetMD не будет распознаваться
–– Отсоедините специальный кабель USB и вновь подсоедините его. Если компьютер
по прежнему не распознает NetMD, отсоедините NetMD, перезагрузите компьютер
и вновь подсоедините специальный кабель USB.
• Вставлен ли в NetMD минидиск?
Проверьте, вставлен ли в NetMD минидиск?
• Если компьютер не распознает NetMD, даже когда NetMD подсоединен
и диск вставлен, может быть неправильно установлен драйвер NetMD.
Проверьте пункт [USB Controller] контроллер USB в окне Device Manager Windows,
чтобы убедиться, правильно ли распознается NetMD.
Восклицательный знак (!) в окне Device Manager Windows говорит о том, что ваш
NetMD распознается неправильно. Переустановите драйвер NetMD.
1 Щелкните пуск [Start] настройка [Settings] панель управления [Control Panel]
2 Дважды щелкните система [System]
в панели управления.
3 Щелкните вкладку [Hardware]
(устройства) и затем щелкните [Device Manager]
(диспетчер устройств).
Появится окно диспетчера устройств [Device Manager].
В Windows XP выберите пуск [Start] панель управления [Control Panel].
В Windows XP дважды щелкните на ярлыке система [System], если панель управления
выводится в классическом формате, либо щелкните производительность и обслуживание
[Performance and Maintenance], а затем на ярлыке система [System], если ярлыки на панели
управления сгруппированы по категориям.
В зависимости от системы вкладки, устройства [Hardware] может не быть. В этом случае
щелкните по вкладке диспетчер устройств [Device Manager] для вывода на дисплей окна
диспетчера устройств [Device Manager].
Если установка программы не была успешной
• Проверьте, закрыли ли вы все приложения Windows до начала установки?
Если вы начнете установку, когда работают другие программы, может произойти сбой.
Это относится особенно к программам, требующим больших системных ресурсов,
например, антивирусным программам.
• Проверьте, не был ли присоединен Net MD к компьютеру до начала
установки?
Если до начала установки к компьютеру был подсоединен специальный кабель USB,
установка может быть выполнена не правильно. Подсоедините специальный кабель USB
после завершения установки.
• Проверьте, достаточно ли свободного места на жестком диске компьютера?
Необходимо 120 Мб или больше свободного пространства на жестком диске.
Если на компьютере недостаточно места на жестком диске, установка невозможна.
Похоже, что установка не завершилась В зависимости от особе.
• Похоже, что установка не завершилась
В зависимости от особенностей компьютера и привода CD ROM, может понадо
биться не менее 30 мин. для завершения установки.
Во время установки следите, не возникают ли следующие проблемы.
• Если после ваших действий установка не завершается успешно
–– Установку можно выполнить, скопировав все файлы на жесткий диск
1 Создайте на жестком диске новую папку.
2 Вставьте поставляемый CD ROM (SonicStage Версии 1.5) в дисковод для
3 Когда появится окно установки, щелкните [Exit] (выход) для отмены установки.
4 Щелкните правой кнопкой мыши по меню пуск [Start] и запустите проводник
5 Выберите на CD ROM [SS15E] и затем в меню щелкните [Edit](правка)
и [Select All] (выделить все).
6 Щелкните правка копировать в папку [Edit] [Copy to Folder] или [Edit Copy]
(правка копировать) для того, чтобы переписать все файлы в папку, созданную
в пункте 1.
7 Извлеките CD ROM из дисковода CD ROM, откройте скопированную на жесткий
диск папку и дважды щелкните по файлу setup.exe.
8 После появления окна установки, следуйте инструкциям на дисплее для установки
программы [SonicStage Версии 1.5].
–– Установку программного обеспечения можно выполнить,
выбрав [Run] (выполнить) в меню пуск [Start].
Установка не завершена, и
кажется, что процесс
установки остановился.
Вид индикатора выполнения
операции на дисплее не
изменяется. Индикатор
доступа к диску не горит в
течение нескольких минут.
Проверьте, не появилось ли сообщение об ошибке
внизу окна установки?
t Удерживая клавишу [Alt], нажмите клавишу табу
ляции [Tab]. Если появилось сообщение об ошибке,
нажмите Enter. Установка будет возобновлена.
Если сообщение не появилось, значит, что установка
по прежнему идет. Подождите немного.
Установка идет нормально. Пожалуйста, подождите.
Руководство по установке и настройке OpenVPN
Когда у нас появились сотрудники, работающие удаленно, пришлось думать над тем, как обеспечить им защищенный доступ к нашим хостинговым серверам, виртуальным выделенным серверам разработчиков Virtual Dedicated Server (VDS), сайтам обеспечения и сопровождения разработки и к другим ресурсам.
По соображениям безопасности доступ к этим ресурсам ограничен при помощи межсетевого экрана (файервола) по портам и адресам IP. Ежедневную перенастройку доступа при изменении динамических IP сотрудников едва ли можно назвать разумным решением.
Выход нашелся довольно быстро — это использование технологии виртуальных частных сетей Virtual Private Network (VPN) и ее свободной реализации OpenVPN. Эта реализация доступна практически для всех распространенных платформ, в том числе для планшетов и смартфонов. История развития OpenVPN насчитывает уже 12 лет (компания OpenVPN Technologies, Inc. была создана Francis Dinha и James Yona в 2002 году), так что это надежное и проверенное временем решение.
В нашей компании сеть VPN позволила предоставить защищенный доступ сотрудников к VDS, играющей роль сервера OpenVPN. И уже для фиксированного IP этого сервера был разрешен доступ к другим ресурсам компании. Попутно на сервере OpenVPN был установлен прокси Squid, что решило все проблемы доступа сотрудников с динамическими IP к защищенным ресурсам компании.
Теме OpenVPN посвящены многочисленные статьи и сообщения на форумах. Тем не менее, нужную информацию мне пришлось собирать по частям из разных мест. Попутно приходилось разбираться с многочисленными терминами и технологиями. В качестве серверов OpenVPN были использованы VDS на базе FreeBSD и Debian Linux, в качестве клиентов — рабочие станции FreeBSD, Debian Linux, Ubuntu и Microsoft Windows.
Надеюсь, что эта статья будет полезна тем, кто впервые столкнулся с необходимостью создания сети VPN или уже использует ее для решения тех или задач, а также тем, кто ищет замену коммерческим реализациям VPN.
С благодарностью приму замечания и предложения по содержимому статьи.
Оглавление
Немного теории
Если раньше для создания безопасного канала передачи данных крупным компаниям и организациям приходилось прокладывать (либо арендовать) кабели и защищать их от физического доступа злоумышленников, то теперь в этом нет необходимости. С помощью VPN можно создавать защищенные виртуальные каналы, работающие через безопасный «туннель» в Интернете. Такое решение может позволить себе любая, даже очень небольшая компания.
Конечно, если предъявляются повышенные требования к защите данных, необходимо применять сертифицированные средства и обращаться к специалистам. Однако уровень защиты, обеспечиваемый OpenVPN, позволяет использовать эту технологию для многих коммерческих приложений.
Почему сеть VPN называется виртуальной и частной?
Виртуальная она потому, что узлы сети объединяются не физическими линиями, а виртуальными соединениями, которые создаются программным обеспечением (ПО) VPN.
Сеть VPN частная, так как к ней могут подключаться только узлы компании, создавшей эту сеть, а не все желающие. На каждом узле сети VPN должно работать ПО VPN. Еще там должны находиться ключи и сертификаты, обеспечивающие узлам доступ к сети VPN и криптографическую защиту передаваемых данных.
Таким образом, сеть VPN может объединять ресурсы (серверы и рабочие станции) компании в единую безопасную виртуальную сеть, созданную на базе Интернета. И теперь сотрудники, работающие удаленно (из дома или из другой страны) будут находиться как бы в общей сети своей компании. Сеть VPN подходит и для консолидации территориально разделенных офисов компании.
Обмен данными по сети
ПО OpenVPN передает данные по сети с помощью протоколов UDP или TCP с применением драйвера TUN/TAP. Протокол UDP и драйвер TUN позволяет подключаться к серверу OpenVPN клиентам, расположенным за NAT.
Для OpenVPN можно выбрать произвольный порт, что позволяет преодолевать ограничения файервола, через который осуществляется доступ из локальной сети в Интернет (если такие ограничения установлены).
Безопасность и шифрование
Безопасность и шифрование в OpenVPN обеспечивается библиотекой OpenSSL и протоколом транспортного уровня Transport Layer Security (TLS). Вместо OpenSSL в новых версиях OpenVPN можно использовать библиотеку PolarSSL. Протокол TLS представляет собой усовершенствование протокола защищенной передачи данных уровня защищенных сокетов Secure Socket Layers (SSL).
В OpenSSL может использоваться симметричная и ассиметричная криптография.
В первом случае перед началом передачи данных на все узлы сети необходимо поместить одинаковый секретный ключ. При этом возникает проблема безопасной передачи этого ключа через небезопасный Интернет.
Во втором случае у каждого участника обмена данными есть два ключа — публичный (открытый) и приватный (секретный).
Публичный ключ используется для зашифрования данных, а приватный — для расшифрования. В основе шифрования лежит довольно сложная математика. Выбранный в SSL/TLS алгоритм зашифрования публичным ключом обеспечивает возможность расшифрования только с помощью приватного ключа.
Приватный ключ секретный, и должен оставаться в пределах узла, на котором он создан. Публичный ключ должен передаваться участникам обмена данными.
Для безопасной передачи данных необходимо идентифицировать стороны, принимающие участие в обмене данными. В противном случае можно стать жертвой так называемой «атаки посредника» (Man in the Middle, MITM). В ходе такой атаки злоумышленник подключается к каналу передачи данных и прослушивает его. Он также может вмешиваться, удалять или изменять данные.
Чтобы обеспечить аутентификацию (проверку подлинности пользователя) протокол TLS использует инфраструктуру публичных ключей (Public Key Infrastructure, PKI) и асимметричную криптографию.
Нужно осознавать, что расшифрование данных без наличия приватного ключа тоже возможно, например, методом последовательного перебора. Хотя такой метод и требует больших вычислительных ресурсов, это только вопрос времени, когда данные смогут быть расшифрованы.
Хотя размер ключа влияет на сложность расшифрования, никакой ключ не дает гарантии полной безопасности данных. Кроме того, существует возможность похищения уже расшифрованных данных и ключей за счет уязвимостей и закладок в операционной системе или прикладном ПО, а также в аппаратном обеспечении серверов и рабочих станций.
Шифрование данных увеличивает трафик и замедляет обмен данными. Чем больше длина ключа, применяемого для шифрования данных, тем труднее будет его подобрать, но и тем заметнее получится замедление обмена данными.
Сертификаты и удостоверяющий центр CA
Как мы уже сказали, при ассиметричной криптографии открытый ключ используется для зашифрования данных, а закрытый — для расшифрования. Чтобы избежать подделки открытого ключа, какая-то третья сторона должна его заверить. В результате этой процедуры создается так называемый сертификат открытого ключа.
Сертификат должна заверить организация, которой доверяют. Эта организация играет роль удостоверяющего центра (Certification authority, CA).
Если создается открытый ключ для публичного использования, в качестве удостоверяющего центра должна выступать коммерческая или государственная организация с неоспоримой репутацией. Эта организация публикует собственный открытый ключ, доступный всем.
Существует немало коммерческих организаций, выпускающих сертификаты, пригодные, например, для создания HTTPS-сайтов, для цифровой подписи сообщений электронной почты или документов, для систем мгновенного обмена сообщениями, такими как Jabber. Эти сертификаты выдаются на ограниченный срок и стоят денег.
Но для сети VPN, создаваемой для своей компании, вы можете самостоятельно создать свой удостоверяющий центр CA и выпускать так называемые самоподписанные сертификаты. Конечно, доверие к таким сертификатам не будет выходить за рамки вашей компании, но во-первых, этого будет вполне достаточно, а во-вторых, самоподписанные сертификаты совершенно бесплатны.
Самоподписанные сертификаты и будут играть роль публичных ключей, с помощью которых узлы вашей сети OpenVPN будут зашифровывать данные. Для расшифрования данных будут использованы приватные ключи.
Сертификаты создаются в соответствии со стандартом X.509. Этот стандарт определяет форматы данных и процедуры распределения открытых ключей с помощью сертификатов, снабженных электронными подписями.
Сертификат X.509 — это публичный ключ, содержащий такие данные, как субъект, владеющий сертификатом, имя узла, период действия, алгоритм и значение подписи сертификата, и т.д. Сертификат должен быть подписан приватным ключом удостоверяющего центра (Certification authority, CA).
Когда наш узел рабочей станции подключается к удаленному узлу (серверу) с использованием протокола TLS, сервер отправляет ему сертификат X.509. На нашем узле есть публичный ключ удостоверяющего центра CA, который подписал этот сертификат. Этот ключ используется для проверки подписи.
Таким образом, имеется способ проверки удаленного узла (сервера), к которому наш узел собирается подключиться, чтобы исключить «атаки посредника» MITM.
Список отзыва сертификатов
Иногда требуется блокировать доступ отдельных узлов к сети VPN компании, например, заблокировать доступ рабочей станции уволенного сотрудника.
Для упрощения этой процедуры в OpenVPN предусмотрен список отзыва сертификатов (Сertificate Revocation List, CRL) и простые средства для управления этим списком.
Список CRL создается в удостоверяющем центре CA и потом копируется на сервер OpenVPN. После внесения изменений в список CRL его необходимо повторно скопировать на сервер OpenVPN.
Файл Диффи-Хелмана
Файл Диффи-Хелмана (Diffie-Hellman) необходим для реализации одноименного протокола, позволяющего использовать небезопасный канал для получения общего секретного ключа. Этот ключ будет в дальнейшем использоваться для защищенного обмена данными с помощью алгоритмов симметричного шифрования.
В применении к OpenVPN файл Диффи-Хелмана нужен для обеспечения защиты трафика от расшифровки, если ключи были похищены. Здесь имеется в виду тот трафик, который был записан и сохранен еще до похищения ключей.
Файл Диффи-Хелмана создается на сервере OpenVPN.
Статический ключ HMAC
Статический ключ (хэш-код) аутентификации сообщений (Hash-based Message Authentication Code, HMAC) обеспечивает проверку подлинности информации, передаваемой между сторонами. Этот ключ создается на сервере OpenVPN с целью дополнительной защиты от DoS-атак и флуда.
Компоненты сети OpenVPN
Прежде чем мы перейдем от теории к практике, перечислим основные компоненты сети OpenVPN и объекты, с которыми нам придется иметь дело.
Удостоверяющий центр CA
Выдает сертификаты по запросу узлов сети VPN, подписанные сертификатом удостоверяющего центра. Предоставляет узлам сети VPN свой собственный сертификат для проверки удостоверяющей стороны. Управляет списком отзыва сертификатов CRL.
ПО сервера OpenVPN создает туннель внутри незащищенной сети, например, Интернета. Этот туннель обеспечивает безопасный зашифрованный трафик между узлами — участниками обмена данными в сети OpenVPN.
ПО клиента OpenVPN устанавливается на все узлы, которым необходим защищенный канал передачи данный с сервером OpenVPN. При соответствующей настройке сервера OpenVPN возможна защищенная передача данных между клиентами OpenVPN, а не только между клиентами и сервером OpenVPN.
Сертификаты (публичные ключи) X.509
Сертификаты X.509 представляют собой публичные ключи, заверенные удостоверяющим центром CA. Они используются для зашифровывания данных. Факт заверения сертификата удостоверяющим центром CA позволяет идентифицировать сторону, передающую зашифрованные данные.
Файл запроса на сертификат создается на узлах сети, затем он переносится на узел удостоверяющего центра и там подписывается. Созданный в результате подписанный сертификат переносится обратно на запросивший его узел сети OpenVPN.
Приватные ключи секретные. Они должны создаваться и храниться на каждом узле сети OpenVPN, предназначены для расшифрования данных и никогда не должны передаваться по сети.
Приватные ключи создаются на узлах сети OpenVPN одновременно с файлом запроса на получение сертификата.
Список отзыва сертификатов CRL
Содержит список сертификатов, утративших доверие. Он создается и редактируется на узле удостоверяющего центра CA. Чтобы отключить узел от сети, достаточно занести его сертификат в список CRL.
После создания и каждого изменения список CRL переносится на серверы OpenVPN.
Используется, чтобы в случае похищения ключей исключить расшифрование трафика, записанного еще до этого похищения. Создается на сервере OpenVPN.
Статический ключ HMAC
Служит для проверки подлинности передаваемой информации. Обеспечивает защиту от DoS-атак и флуда. Создается на сервере OpenVPN.
Готовим оборудование для установки OpenVPN
Если вы впервые настраиваете сеть VPN, лучше всего экспериментировать на виртуальных машинах VDS. Это могут быть VDS, созданные локально на вашем компьютере или на сервере в вашей сети, либо арендованные у провайдера. Перед арендой VDS поинтересуйтесь, поддерживается ли драйвер TUN/TAP. Некоторые провайдеры требуют дополнительной оплаты для подключения TUN/TAP.
На рис. 1. мы показали схему стенда, на котором будем устанавливать компоненты и узлы OpenVPN (имена и адреса IP хостов могут быть другими).
Рис. 1. Стенд для изучения OpenVPN.
Здесь изображены три узла (хоста), для каждого из которых потребуется отдельный VDS:
Хосты клиента и сервера VPN соединены обычным, небезопасным каналом. В случае макета это может быть локальная сеть, в реальной жизни — канал сети Интернет. ПО OpenVPN создает в этой сети канал, обозначенный на рис. 1 красным цветом, внутри которого устанавливается безопасный шифрованный канал (обозначен зеленым цветом).
В макете хост удостоверяющего центра CA можно подключить к вашей локальной сети. Для реальной работы хост CA нужно отсоединить от сети, а обмен сертификатами и ключами осуществлять с помощью, например, USB флэш-диска.
Если к безопасности предъявляются повышенные требования, хост CA необходимо поместить в охраняемое помещение — расположенная на этой машине информация позволяет создавать ключи доступа к вашей сети VPN.
Мы проводили установку серверов OpenVPN в среде ОС Debian Linux и FreeBSD, клиентов OpenVPN в ОС Debian Linux, FreeBSD и Microsoft Windows.
Основная часть статьи посвящена установке компонентов OpenVPN для Debian Linux. Далее мы рассмотрим особенности установки для FreeBSD и Microsoft Windows.
По возможности на узлах сети OpenVPN используйте новые версии ОС. Перед тем как приступить к работе с OpenVPN, обновите пакеты Linux:
Установите на всех узлах пакет пакет zip, если он не был установлен ранее:
Этот пакет будет нужен для распаковки архива утилиты Easy-RSA, с помощью которой мы будем создавать ключи и сертификаты.
На всех узлах настройте обновление и синхронизацию времени.
Синхронизация времени необходима, т.к. сертификаты имеют период действия. Если часы, например, на хосте удостоверяющего центра CA и сервера OpenVPN не синхронны, может получиться так, что выданный удостоверяющим центром сертификат не будет действителен на узлах сети OpenVPN из-за ограничений по дате или времени.
Дальнейшие работы мы начнем с подготовки хоста удостоверяющего центра CA. Затем установим хосты сервера и клиента OpenVPN.
Создание удостоверяющего центра CA
Как мы уже говорили, задача удостоверяющего центра CA — выдача подписанных сертификатов для сервера и клиентов OpenVPN.
Чтобы получить сертификат, сервер или клиент на своем хосте генерирует файл запроса на сертификат. Этот файл запроса передается на хост CA, который создает сертификат и подписывает его. Далее подписанный сертификат передается на запросивший хост.
Одновременно с запросом сертификата создается приватный ключ. Приватные ключи создаются для всех узлов сети OpenVPN: для удостоверяющего центра CA, для сервера и всех клиентов OpenVPN.
Для безопасности файлы ключей никогда не должны покидать узлы, где они были созданы. Обмениваться можно только запросами на сертификаты и сертификатами, приватными ключами обмениваться нельзя и незачем.
На рис. 2 показан процесс получения подписанного сертификата для сервера OpenVPN.
Рис. 2. Получение сертификата для сервера OpenVPN
Сервер OpenVPN создает свой приватный ключ и файл запроса на получение сертификата. Файл запроса передается в удостоверяющий центр, например, на USB флеш-диске.
Удостоверяющий центр на основе запроса создает подписанный сертификат, который затем требуется перенести на сервер OpenVPN, также на USB флэш-диске.
Если к безопасности не предъявляется особых требований или вы только изучаете OpenVPN, можно подключить машину удостоверяющего центра к сети и передавать запросы и сертификаты, например, с помощью утилит SFTP или SCP. Можно даже совместить функции CA и, например, сервера OpenVPN в одном хосте.
Аналогичным образом необходимо получить сертификаты для всех клиентских узлов (рис. 3).
Рис. 3. Получение сертификата для клиента OpenVPN
Установка утилиты Easy-RSA
Все операции по созданию ключей и сертификатов можно выполнить с помощью утилиты openssl. Однако проще воспользоваться специально созданной для этого программой Easy-RSA, которая использует openssl для выполнения действий с ключами и сертификатами.
Ранее утилита Easy-RSA поставлялась вместе с OpenVPN, но теперь это отдельный проект.
Все операции с удостоверяющим центром и сертификатами можно (и нужно) проводить от имени непривилегированного пользователя.
Создайте пользователя с именем, например, ca и перейдите в его домашний каталог:
Загрузите дистрибутив программы утилитой wget.
После загрузки распакуйте архив master.zip:
В табл. 1 перечислены файлы и каталоги, входящие в дистрибутив Easy-RSA.
Таблица 1. Состав дистрибутива Easy-RSA.