Probleemid
Just hiljuti ei teadnud paljud, mis tunne on kodus töötada. Pandeemia on olukorda maailmas kardinaalselt muutnud, kõik on hakanud kohanema praeguste oludega, nimelt sellega, et kodust lahkumine on muutunud lihtsalt ebaturvaliseks. Ja paljud pidid oma töötajatele kiiresti kodus töö korraldama.
Pädeva lähenemise puudumine kaugtöö lahenduste valikul võib aga kaasa tuua pöördumatuid kaotusi. Kasutajate paroole saab varastada ja see võimaldab ründajal kontrollimatult ühenduse luua ettevõtte võrgu- ja IT-ressurssidega.
Seetõttu on nüüd suurenenud vajadus usaldusväärsete ettevõtte VPN-võrkude loomiseks. Ma räägin teile sellest usaldusväärne, ohutu и lihtne VPN-võrgu kasutamisel.
See töötab vastavalt IPsec/L2TP skeemile, mis kasutab klientide autentimiseks mittetootavaid võtmeid ja žetoonidele salvestatud sertifikaate ning edastab andmeid ka üle võrgu krüpteeritud kujul.
Konfigureerimiseks kasutati CentOS 7 serverit (aadress: centos.vpn.server.ad) ja Ubuntu 20.04 klienti, samuti Windows 10 klienti.
Süsteemi kirjeldus
VPN töötab vastavalt skeemile IPSec + L2TP + PPP. Protokoll Punkt-punkti protokoll (PPP) töötab OSI mudeli andmesidekihil ning tagab kasutaja autentimise ja edastatud andmete krüptimise. Selle andmed on kapseldatud L2TP protokolli andmetesse, mis tegelikult tagab ühenduse loomise VPN-võrgus, kuid ei paku autentimist ja krüptimist.
L2TP andmed on kapseldatud IPSec-i, mis tagab ka autentimise ja krüptimise, kuid erinevalt PPP-st toimub autentimine ja krüptimine seadme, mitte kasutaja tasemel.
See funktsioon võimaldab teil autentida kasutajaid ainult teatud seadmetes. Kasutame IPSec-protokolli sellisel kujul ja võimaldame kasutaja autentimist mis tahes seadmest.
Kasutaja autentimine kiipkaartide abil toimub PPP-protokolli tasemel, kasutades protokolli EAP-TLS.
Täpsemat teavet selle vooluringi töö kohta leiate aadressilt .
Miks vastab see skeem kõigile kolmele hea VPN-võrgu nõudele?
- Selle skeemi usaldusväärsust on aeg testinud. Seda on VPN-võrkude juurutamiseks kasutatud alates 2000. aastast.
- Turvalist kasutaja autentimist pakub PPP-protokoll. ei taga piisavat turvalisuse taset, sest Autentimiseks kasutatakse parimal juhul autentimist sisselogimise ja parooli abil. Me kõik teame, et sisselogimisparooli saab luurata, ära arvata või varastada. Kuid juba pikka aega arendaja в See protokoll parandas selle probleemi ja lisas võimaluse kasutada autentimiseks asümmeetrilisel krüptimisel põhinevaid protokolle, näiteks EAP-TLS. Lisaks lisas ta võimaluse kasutada autentimiseks kiipkaarte, mis muutis süsteemi turvalisemaks.
Hetkel käivad aktiivsed läbirääkimised nende kahe projekti liitmiseks ja võib kindel olla, et varem või hiljem see niikuinii juhtub. Näiteks on Fedora hoidlates pikka aega olnud PPP paigatud versioon, mis kasutab autentimiseks turvalisi protokolle. - Kuni viimase ajani said seda võrku kasutada ainult Windowsi kasutajad, kuid meie kolleegid Moskva Riiklikust Ülikoolist Vassili Šokov ja Aleksander Smirnov leidsid ja muutis seda. Üheskoos parandasime kliendi töös palju vigu ja puudusi, lihtsustasime süsteemi paigaldamist ja seadistamist, isegi allikast üles ehitades. Kõige olulisemad neist on:
- Parandatud vana kliendi ühilduvusprobleemid openssl ja qt uute versioonide liidesega.
- Pppd eemaldati loa PIN-koodi edastamisest ajutise faili kaudu.
- Parandatud paroolipäringu programmi vale käivitamine graafilise liidese kaudu. Selleks installiti teenuse xl2tpd jaoks õige keskkond.
- L2tpIpsecVpn deemoni ehitamine toimub nüüd koos kliendi enda ehitusega, mis lihtsustab ehitus- ja konfigureerimisprotsessi.
- Arendamise hõlbustamiseks on Azure Pipelinesi süsteem ühendatud, et testida ehituse õigsust.
- Lisatud võimalus sundida alandamisele openssl kontekstis. See on kasulik uute operatsioonisüsteemide korrektseks toetamiseks, mille standardseks turbetasemeks on seatud 2, VPN-võrkudes, mis kasutavad sertifikaate, mis ei vasta selle taseme turvanõuetele. See valik on kasulik olemasolevate vanade VPN-võrkudega töötamiseks.
Parandatud versiooni leiate aadressilt .
See klient toetab kiipkaartide kasutamist autentimiseks ning peidab nii palju kui võimalik kõik selle skeemi seadistamisega seotud raskused ja raskused Linuxis, muutes kliendi seadistamise võimalikult lihtsaks ja kiireks.
Muidugi polnud PPP ja kliendi GUI vahelise mugava ühenduse loomiseks võimalik ilma iga projekti täiendavate muudatusteta, kuid sellegipoolest viidi need miinimumini ja vähendati miinimumini:
- Fikseeritud
- Fikseeritud . See tõrge ei võimaldanud meil kohalikust /etc/ppp/openssl.cnf konfiguratsioonifailist midagi laadida peale teabe kiipkaartidega töötamiseks mõeldud openssl mootorite kohta, mis oli tõsine ebamugavus, kui näiteks lisaks mootorite teabele tahtsime midagi muud määrata. Näiteks määrake ühenduse loomisel turvatase.
Nüüd saate alustada seadistamist.
Serveri häälestamine
Installime kõik vajalikud paketid.
Tugevluige installimine (IPsec)
Kõigepealt konfigureerime tulemüüri ipsec-i tööks
sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reloadSeejärel alustame installimist
sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswanPärast installimist peate konfigureerima strongswani (üks IPSec-i rakendustest). Selleks redigeerige faili /etc/strongswan/ipsec.conf :
config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey
conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=%any
leftprotoport=udp/1701
right=%any
rightprotoport=udp/%any
ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024Määrame ka ühise sisselogimisparooli. Jagatud parool peab olema autentimiseks teada kõigile võrgus osalejatele. See meetod on ilmselt ebausaldusväärne, kuna see parool võib kergesti teada saada isikutele, kellele me ei soovi võrgule juurdepääsu pakkuda.
Kuid isegi see asjaolu ei mõjuta võrgu turvalisust, sest Põhiandmete krüpteerimine ja kasutaja autentimine toimub PPP-protokolli abil. Kuid ausalt öeldes väärib märkimist, et strongswan toetab autentimiseks turvalisemaid tehnoloogiaid, näiteks privaatvõtmeid kasutades. Strongswanil on ka võimalus pakkuda autentimist kiipkaartide abil, kuid seni on toetatud vaid piiratud hulk seadmeid ja seetõttu on Rutokeni žetoonide ja kiipkaartide abil autentimine endiselt keeruline. Määrame faili kaudu üldise parooli /etc/strongswan/ipsec.secrets:
# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"Taaskäivitame strongswani:
sudo systemctl enable strongswan
sudo systemctl restart strongswanxl2tp installimine
sudo dnf install xl2tpdSeadistame selle faili kaudu /etc/xl2tpd/xl2tpd.conf:
[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes
[lns default]
exclusive = no
; определяет статический адрес сервера в виртуальной сети
local ip = 100.10.10.1
; задает диапазон виртуальных адресов
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; данную опцию можно отключить после успешной настройки сети
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; указывает адрес сервера в сети
name = centos.vpn.server.adTaaskäivitame teenuse:
sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpdPPP seadistamine
Soovitatav on installida pppd uusim versioon. Selleks käivitage järgmine käskude jada:
sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make installKirjuta faili /etc/ppp/options.xl2tpd järgmised (kui seal on väärtusi, saate need kustutada):
ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1
noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000Väljastame juursertifikaadi ja serveri sertifikaadi:
#директория с сертификатами пользователей, УЦ и сервера
sudo mkdir /etc/ppp/certs
#директория с закрытыми ключами сервера и УЦ
sudo mkdir /etc/ppp/keys
#запрещаем любой доступ к этой дирректории кроме администатора
sudo chmod 0600 /etc/ppp/keys/
#генерируем ключ и выписываем сертификат УЦ
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"
#генерируем ключ и выписываем сертификат сервера
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserialSeega oleme serveri põhiseadistamisega valmis. Ülejäänud serveri konfiguratsioon hõlmab uute klientide lisamist.
Uue kliendi lisamine
Uue kliendi võrku lisamiseks peate lisama selle sertifikaadi selle kliendi usaldusväärsete loendisse.
Kui kasutaja soovib saada VPN-võrgu liikmeks, loob ta sellele kliendile võtmepaari ja sertifikaadirakenduse. Kui kasutaja on usaldusväärne, saab selle rakenduse allkirjastada ja saadud sertifikaadi kirjutada sertifikaatide kataloogi:
sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserialLisame faili /etc/ppp/eaptls-server rida, mis ühtib kliendi nime ja selle sertifikaadiga:
"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *MÄRKUSED
Segaduste vältimiseks on parem, kui: Üldnimi, sertifikaadi failinimi ja kasutajanimi on kordumatud.
Samuti tasub kontrollida, et meie lisatava kasutaja nimi ei oleks kuskil teistes autentimisfailides, vastasel juhul tekib probleeme kasutaja autentimise viisiga.
Sama sertifikaat tuleb kasutajale tagasi saata.
Võtmepaari ja sertifikaadi genereerimine
Edukaks autentimiseks peab klient:
- genereerida võtmepaar;
- omama CA juursertifikaati;
- omama oma võtmepaari sertifikaati, mille on allkirjastanud juur-CA.
Linuxi kliendi jaoks
Kõigepealt genereerime tokenil võtmepaari ja loome sertifikaadi jaoks rakenduse:
#идентификатор ключа (параметр --id) можно заменить на любой другой.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45
openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"Saatke ilmuv rakendus client.req CA-le. Kui olete oma võtmepaari jaoks sertifikaadi kätte saanud, kirjutage see võtmega sama ID-ga märgisse:
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id 45Windowsi ja Linuxi klientidele (universaalsem meetod)
See meetod on universaalsem, kuna võimaldab teil luua võtme ja sertifikaadi, mille Windowsi ja Linuxi kasutajad edukalt ära tunnevad, kuid võtme genereerimise protseduuri läbiviimiseks on vaja Windowsi masinat.
Enne päringute genereerimist ja sertifikaatide importimist peate lisama VPN-võrgu juursertifikaadi usaldusväärsete loendisse. Selleks avage see ja valige avanevas aknas valik "Installi sertifikaat":
Avanevas aknas valige kohalikule kasutajale sertifikaadi installimine:
Installime sertifikaadi CA usaldusväärsesse juursertifikaadisalve:
Pärast kõiki neid toiminguid nõustume kõigi edasiste punktidega. Süsteem on nüüd konfigureeritud.
Loome järgmise sisuga faili cert.tmp:
[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE"
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSEPärast seda loome võtmepaari ja loome sertifikaadi jaoks rakenduse. Selleks avage powershell ja sisestage järgmine käsk:
certreq.exe -new -pin $PIN .cert.tmp .client.reqSaatke loodud rakendus client.req oma CA-le ja oodake, kuni klient.pem sertifikaat saabub. Selle saab kirjutada märgile ja lisada Windowsi serdihoidlasse, kasutades järgmist käsku:
certreq.exe -accept .client.pemVäärib märkimist, et sarnaseid toiminguid saab reprodutseerida ka mmc-programmi graafilise liidese abil, kuid see meetod on aeganõudvam ja vähem programmeeritav.
Ubuntu kliendi seadistamine
MÄRKUSED
Kliendi seadistamine Linuxis on praegu üsna aeganõudev, sest... nõuab allikast eraldi programmide loomist. Püüame tagada, et kõik muudatused lisataks lähitulevikus ametlikesse hoidlatesse.
IPSec-i tasemel ühenduse tagamiseks serveriga kasutatakse paketti strongswan ja deemonit xl2tp. Kiipkaartide abil võrguga ühenduse loomise lihtsustamiseks kasutame paketti l2tp-ipsec-vpn, mis pakub ühenduse lihtsustamiseks graafilist kesta.
Alustame elementide kokkupanemist samm-sammult, kuid enne seda installime kõik VPN-i otse töötamiseks vajalikud paketid:
sudo apt-get install xl2tpd strongswan libp11-3Tarkvara installimine žetoonidega töötamiseks
Installige uusim librtpkcs11ecp.so teek aadressilt , ka kiipkaartidega töötamiseks mõeldud teegid:
sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-opensslÜhendage Rutoken ja kontrollige, kas süsteem tunneb selle ära:
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O -lPaigutatud ppp installimine
sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make installL2tpIpsecVpn kliendi installimine
Hetkel on vaja klient ka lähtekoodist kompileerida. Seda tehakse järgmise käskude jada abil:
sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make installL2tpIpsecVpn kliendi seadistamine
Käivitage installitud klient:
Pärast käivitamist peaks L2tpIpsecVPN aplett avanema. Paremklõpsake seda ja konfigureerige ühendus:
Tokenidega töötamiseks näitame kõigepealt tee OpenSSL-mootori ja PKCS#11 teegi opensc-mootori juurde. Selleks avage vahekaart "Eelistused", et konfigureerida openssl-i parameetrid:
.
Sulgeme OpenSSL-i sätete akna ja liigume edasi võrgu seadistamise juurde. Lisame uue võrgu, klõpsates seadete paneelil nuppu Lisa... ja sisestame võrgu nime:
Pärast seda muutub see võrk seadete paneelil kättesaadavaks. Uue võrgu konfigureerimiseks tehke topeltklõps uuel võrgul. Esimesel vahekaardil peate määrama IPseci seaded. Määrame serveri aadressi ja avaliku võtme:
Pärast seda minge vahekaardile PPP seaded ja märkige seal kasutajanimi, mille all tahame võrgule juurdepääsu:
Pärast seda avage vahekaart Atribuudid ja määrake võtme, kliendi sertifikaadi ja CA tee:
Sulgeme selle vahekaardi ja teeme lõplikud seadistused; selleks avage vahekaart "IP-sätted" ja märkige ruut valiku "Hangi DNS-serveri aadress automaatselt" kõrval:
See valik võimaldab kliendil saada serverist isikliku IP-aadressi võrgu sees.
Pärast kõigi sätete määramist sulgege kõik vahekaardid ja taaskäivitage klient:
Võrguühendus
Pärast seadeid saate võrguga ühenduse luua. Selleks avage apleti vahekaart ja valige võrk, millega soovite ühenduse luua:
Ühenduse loomise protsessis palub klient meil sisestada Rutokeni PIN-koodi:
Kui olekuribal kuvatakse teade, et ühendus on edukalt loodud, tähendab see, et seadistamine õnnestus:
Vastasel juhul tasub välja selgitada, miks ühendust ei loodud. Selleks tuleks vaadata programmi logi, valides apletis käsu "Ühendusteave":
Windowsi kliendi seadistamine
Kliendi seadistamine Windowsis on palju lihtsam kui Linuxis, kuna... Kogu vajalik tarkvara on juba süsteemi sisse ehitatud.
Süsteemi seadistus
Installime kõik Rutokensiga töötamiseks vajalikud draiverid, laadides need alla aadressilt .
Juursertifikaadi importimine autentimiseks
Laadige alla serveri juursertifikaat ja installige see süsteemi. Selleks avage see ja valige avanevas aknas valik "Installi sertifikaat":
Avanevas aknas valige kohalikule kasutajale sertifikaadi installimine. Kui soovite, et sertifikaat oleks kättesaadav kõigile arvuti kasutajatele, peaksite valima sertifikaadi installimise kohalikku arvutisse:
Installime sertifikaadi CA usaldusväärsesse juursertifikaadisalve:
Pärast kõiki neid toiminguid nõustume kõigi edasiste punktidega. Süsteem on nüüd konfigureeritud.
VPN-ühenduse seadistamine
VPN-ühenduse seadistamiseks minge juhtpaneelile ja valige suvand uue ühenduse loomiseks.
Valige hüpikaknas suvand, et luua ühendus töökohaga ühenduse loomiseks.
Järgmises aknas valige VPN-ühendus:
ja sisestage VPN-ühenduse üksikasjad ning määrake ka kiipkaardi kasutamise võimalus:
Seadistamine pole veel lõppenud. Jääb üle vaid määrata IPsec-protokolli jagatud võti; selleks minge vahekaardile "Võrguühenduse sätted" ja seejärel vahekaardile "Selle ühenduse atribuudid".
Avanevas aknas minge vahekaardile "Turvalisus", määrake võrgutüübiks "L2TP/IPsec Network" ja valige "Täpsemad sätted":
Avanevas aknas määrake jagatud IPsec-võti:
Подключение
Pärast seadistamise lõpetamist võite proovida võrguga ühenduse luua.
Ühenduse loomise ajal peame sisestama PIN-koodi:
Oleme loonud turvalise VPN-võrgu ja veendunud, et see pole keeruline.
Tänusõnad
Tahaksin veel kord tänada meie kolleege Vassili Šokovi ja Aleksandr Smirnovi ühise töö eest, mida nad on teinud Linuxi klientide jaoks VPN-ühenduste loomise lihtsustamiseks.
Allikas: www.habr.com