pitanja
Još nedavno mnogi nisu znali kako je to raditi od kuće. Pandemija je dramatično promijenila situaciju u svijetu, svi su se počeli prilagođavati trenutnim okolnostima, odnosno činjenici da je jednostavno postalo nesigurno izlaziti iz kuće. I mnogi su morali brzo organizirati rad od kuće za svoje zaposlenike.
Međutim, nedostatak kompetentnog pristupa odabiru rješenja za rad na daljinu može dovesti do nepovratnih gubitaka. Korisničke lozinke mogu se ukrasti, a to će omogućiti napadaču nekontrolirano povezivanje na mrežu i IT resurse poduzeća.
Zbog toga je potreba za stvaranjem pouzdanih korporativnih VPN mreža sada povećana. Reći ću ti o pouzdan, sef и jednostavan u korištenju VPN mreže.
Radi prema shemi IPsec/L2TP, koja koristi nepovratne ključeve i certifikate pohranjene na tokenima za autentifikaciju klijenata, a također prenosi podatke preko mreže u šifriranom obliku.
Kao pokazna postolja za konfiguraciju korišteni su poslužitelj s CentOS 7 (adresa: centos.vpn.server.ad) i klijent s Ubuntu 20.04, kao i klijent s Windows 10.
Opis sistema
VPN će raditi prema shemi IPSec + L2TP + PPP. Protokol Protokol od točke do točke (PPP) radi na sloju podatkovne veze OSI modela i osigurava autentifikaciju korisnika i enkripciju prenesenih podataka. Njegovi su podaci enkapsulirani u podatke L2TP protokola, koji zapravo osigurava stvaranje veze u VPN mreži, ali ne osigurava autentifikaciju i enkripciju.
L2TP podaci su kapsulirani u IPSec, koji također pruža autentifikaciju i enkripciju, ali za razliku od PPP-a, autentifikacija i enkripcija se odvijaju na razini uređaja, a ne na razini korisnika.
Ova vam značajka omogućuje autentifikaciju korisnika samo s određenih uređaja. Koristit ćemo IPSec protokol kakav jest i dopustiti autentifikaciju korisnika s bilo kojeg uređaja.
Autentifikacija korisnika pomoću pametnih kartica provodit će se na razini PPP protokola pomoću EAP-TLS protokola.
Detaljnije informacije o radu ovog sklopa mogu se pronaći u .
Zašto ova shema ispunjava sva tri zahtjeva dobre VPN mreže?
- Pouzdanost ove sheme testirana je vremenom. Koristi se za postavljanje VPN mreža od 2000.
- Sigurnu autentifikaciju korisnika osigurava PPP protokol. ne pruža dovoljnu razinu sigurnosti, jer Za autentifikaciju se u najboljem slučaju koristi autentifikacija pomoću prijave i lozinke. Svi znamo da se lozinka za prijavu može špijunirati, pogoditi ili ukrasti. Međutim, već duže vrijeme programer в Ovaj je protokol ispravio ovaj problem i dodao mogućnost korištenja protokola temeljenih na asimetričnoj enkripciji, kao što je EAP-TLS, za provjeru autentičnosti. Osim toga, dodao je mogućnost korištenja pametnih kartica za autentifikaciju, što je sustav učinilo sigurnijim.
Trenutno su u tijeku aktivni pregovori oko spajanja ova dva projekta i budite sigurni da će se to prije ili kasnije ipak dogoditi. Na primjer, zakrpana verzija PPP-a je dugo bila u Fedora repozitoriju, koristeći sigurne protokole za autentifikaciju. - Donedavno su ovu mrežu mogli koristiti samo korisnici Windowsa, no naši kolege s Moskovskog državnog sveučilišta Vasily Shokov i Alexander Smirnov otkrili su i modificirao ga. Zajedno smo popravili mnoge bugove i nedostatke u radu klijenta, pojednostavili instalaciju i konfiguraciju sustava, čak i kod izgradnje iz izvora. Najznačajniji od njih su:
- Riješeni problemi kompatibilnosti starog klijenta sa sučeljem novih verzija openssl i qt.
- Uklonjen pppd iz prosljeđivanja tokena PIN-a kroz privremenu datoteku.
- Popravljeno netočno pokretanje programa za traženje lozinke kroz grafičko sučelje. To je učinjeno instaliranjem ispravnog okruženja za uslugu xl2tpd.
- Izgradnja demona L2tpIpsecVpn sada se provodi zajedno s izgradnjom samog klijenta, što pojednostavljuje proces izgradnje i konfiguracije.
- Radi lakšeg razvoja, povezan je sustav Azure Pipelines za testiranje ispravnosti izgradnje.
- Dodana je mogućnost prisilnog vraćanja na stariju verziju u kontekstu openssl. Ovo je korisno za ispravnu podršku novim operativnim sustavima gdje je standardna razina sigurnosti postavljena na 2, s VPN mrežama koje koriste certifikate koji ne ispunjavaju sigurnosne zahtjeve ove razine. Ova će opcija biti korisna za rad s postojećim starim VPN mrežama.
Ispravljenu verziju možete pronaći u .
Ovaj klijent podržava korištenje pametnih kartica za autentifikaciju, a također skriva što je više moguće sve poteškoće i poteškoće postavljanja ove sheme pod Linuxom, čineći postavljanje klijenta što jednostavnijim i bržim.
Naravno, za prikladnu vezu između PPP-a i GUI-ja klijenta nije bilo moguće bez dodatnih izmjena svakog od projekata, ali unatoč tome one su minimizirane i svedene na minimum:
- Popravljeno
- Popravljeno . Ova pogreška nam nije dopuštala učitavanje bilo čega iz lokalne /etc/ppp/openssl.cnf konfiguracijske datoteke osim informacija o openssl motorima za rad sa pametnim karticama, što je predstavljalo ozbiljnu neugodnost ako je, na primjer, pored podataka o motorima, htjeli smo postaviti nešto drugo. Na primjer, popravite razinu sigurnosti prilikom uspostavljanja veze.
Sada možete početi s postavljanjem.
Podešavanje poslužitelja
Instalirajmo sve potrebne pakete.
Instaliranje strongswana (IPsec)
Prije svega, konfigurirajmo vatrozid za rad ipseca
sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reloadZatim počnimo s instalacijom
sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswanNakon instalacije potrebno je konfigurirati strongswan (jedna od IPSec implementacija). Da biste to učinili, uredite datoteku /etc/strongswan/ipsec.conf :
config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey
conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=%any
leftprotoport=udp/1701
right=%any
rightprotoport=udp/%any
ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024Također ćemo postaviti zajedničku lozinku za prijavu. Zajednička lozinka mora biti poznata svim sudionicima mreže radi provjere autentičnosti. Ova metoda je očito nepouzdana, jer ovu lozinku lako mogu saznati pojedinci kojima ne želimo omogućiti pristup mreži.
Međutim, ni ta činjenica neće utjecati na sigurnost mreže, jer Osnovna enkripcija podataka i autentifikacija korisnika provodi se PPP protokolom. No, pošteno radi, vrijedi napomenuti da strongswan podržava sigurnije tehnologije za autentifikaciju, na primjer, koristeći privatne ključeve. Strongswan također ima mogućnost pružanja autentifikacije korištenjem pametnih kartica, ali za sada je podržan samo ograničen raspon uređaja i stoga je autentifikacija korištenjem Rutoken tokena i pametnih kartica još uvijek teška. Postavimo opću lozinku putem datoteke /etc/strongswan/ipsec.secrets:
# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"Pokrenimo ponovno strongswan:
sudo systemctl enable strongswan
sudo systemctl restart strongswanInstalacija xl2tp
sudo dnf install xl2tpdKonfigurirajmo ga putem datoteke /etc/xl2tpd/xl2tpd.conf:
[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes
[lns default]
exclusive = no
; определяет статический адрес сервера в виртуальной сети
local ip = 100.10.10.1
; задает диапазон виртуальных адресов
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; данную опцию можно отключить после успешной настройки сети
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; указывает адрес сервера в сети
name = centos.vpn.server.adPonovno pokrenimo uslugu:
sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpdPostavljanje PPP-a
Preporučljivo je instalirati najnoviju verziju pppd-a. Da biste to učinili, izvršite sljedeći niz naredbi:
sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make installZapiši u datoteku /etc/ppp/options.xl2tpd sljedeće (ako tamo postoje vrijednosti, možete ih izbrisati):
ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1
noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000Izdajemo korijenski certifikat i certifikat poslužitelja:
#директория с сертификатами пользователей, УЦ и сервера
sudo mkdir /etc/ppp/certs
#директория с закрытыми ключами сервера и УЦ
sudo mkdir /etc/ppp/keys
#запрещаем любой доступ к этой дирректории кроме администатора
sudo chmod 0600 /etc/ppp/keys/
#генерируем ключ и выписываем сертификат УЦ
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"
#генерируем ключ и выписываем сертификат сервера
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserialTime smo završili s osnovnim postavljanjem poslužitelja. Ostatak konfiguracije poslužitelja uključuje dodavanje novih klijenata.
Dodavanje novog klijenta
Da biste dodali novog klijenta u mrežu, morate dodati njegov certifikat na popis pouzdanih za ovog klijenta.
Ako korisnik želi postati članom VPN mreže, kreira par ključeva i aplikaciju certifikata za tog klijenta. Ako je korisnik pouzdan, tada se ova aplikacija može potpisati, a rezultirajući certifikat može se zapisati u direktorij certifikata:
sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserialDodajmo red u datoteku /etc/ppp/eaptls-server da odgovara imenu klijenta i njegovom certifikatu:
"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *BILJEŠKA
Da biste izbjegli zabunu, bolje je da: Uobičajeno ime, naziv datoteke certifikata i korisničko ime budu jedinstveni.
Također vrijedi provjeriti da se ime korisnika kojeg dodajemo ne pojavljuje nigdje u drugim datotekama za provjeru autentičnosti, inače će biti problema s načinom na koji je korisnik ovjeren.
Isti certifikat mora biti poslan nazad korisniku.
Generiranje para ključeva i certifikata
Za uspješnu autentifikaciju klijent mora:
- generirati par ključeva;
- imati CA korijenski certifikat;
- imate certifikat za svoj par ključeva potpisan od strane root CA.
za klijenta na Linuxu
Prvo, generirajmo par ključeva na tokenu i izradimo aplikaciju za certifikat:
#идентификатор ключа (параметр --id) можно заменить на любой другой.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45
openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"Pošaljite aplikaciju client.req koja se pojavi CA-u. Nakon što primite certifikat za svoj par ključeva, zapišite ga u token s istim ID-om kao ključ:
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id 45za Windows i Linux klijente (univerzalnija metoda)
Ova metoda je univerzalnija, jer omogućuje generiranje ključa i certifikata koje će korisnici Windowsa i Linuxa uspješno prepoznati, ali za provođenje postupka generiranja ključa potrebno je Windows računalo.
Prije generiranja zahtjeva i uvoza certifikata, morate dodati korijenski certifikat VPN mreže na popis pouzdanih. Da biste to učinili, otvorite ga i u prozoru koji se otvori odaberite opciju "Instaliraj certifikat":
U prozoru koji se otvori odaberite instaliranje certifikata za lokalnog korisnika:
Instalirajmo certifikat u pohranu pouzdanih korijenskih certifikata CA-a:
Nakon svih ovih radnji, slažemo se sa svim daljnjim točkama. Sustav je sada konfiguriran.
Kreirajmo datoteku cert.tmp sa sljedećim sadržajem:
[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE"
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSENakon toga ćemo generirati par ključeva i izraditi aplikaciju za certifikat. Da biste to učinili, otvorite PowerShell i unesite sljedeću naredbu:
certreq.exe -new -pin $PIN .cert.tmp .client.reqPošaljite stvorenu aplikaciju client.req svom CA-u i pričekajte da se primi client.pem certifikat. Može se napisati u token i dodati u Windows pohranu certifikata pomoću sljedeće naredbe:
certreq.exe -accept .client.pemVrijedno je napomenuti da se slične radnje mogu reproducirati pomoću grafičkog sučelja mmc programa, ali ova metoda zahtijeva više vremena i manje se može programirati.
Postavljanje Ubuntu klijenta
BILJEŠKA
Postavljanje klijenta na Linux trenutno oduzima dosta vremena, jer... zahtijeva izgradnju zasebnih programa iz izvora. Pokušat ćemo osigurati da sve promjene budu uključene u službene repozitorije u skoroj budućnosti.
Kako bi se osigurala veza na IPSec razini s poslužiteljem, koristi se paket strongswan i demon xl2tp. Kako bismo pojednostavili povezivanje s mrežom pomoću pametnih kartica, koristit ćemo paket l2tp-ipsec-vpn koji pruža grafičku ljusku za pojednostavljeno postavljanje veze.
Počnimo sastavljati elemente korak po korak, ali prije toga ćemo instalirati sve potrebne pakete za izravan rad VPN-a:
sudo apt-get install xl2tpd strongswan libp11-3Instalacija softvera za rad s tokenima
Instalirajte najnoviju biblioteku librtpkcs11ecp.so iz , također biblioteke za rad sa pametnim karticama:
sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-opensslSpojite Rutoken i provjerite prepoznaje li ga sustav:
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O -lInstaliranje zakrpanog ppp-a
sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make installInstaliranje L2tpIpsecVpn klijenta
U ovom trenutku, klijent također treba biti kompajliran iz izvornog koda. To se radi pomoću sljedećeg niza naredbi:
sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make installPostavljanje L2tpIpsecVpn klijenta
Pokrenite instalirani klijent:
Nakon pokretanja trebao bi se otvoriti aplet L2tpIpsecVPN. Desnom tipkom miša kliknite na njega i konfigurirajte vezu:
Za rad s tokenima, prije svega, ukazujemo na put do opensc motora OpenSSL motora i biblioteke PKCS#11. Da biste to učinili, otvorite karticu "Preferences" za konfiguraciju openssl parametara:
.
Zatvorimo prozor s postavkama OpenSSL-a i prijeđimo na postavljanje mreže. Dodajmo novu mrežu klikom na gumb Dodaj... na ploči postavki i unesite naziv mreže:
Nakon toga ova će mreža postati dostupna na ploči postavki. Dvaput desnom tipkom miša kliknite novu mrežu da biste je konfigurirali. Na prvoj kartici trebate napraviti IPsec postavke. Postavimo adresu poslužitelja i javni ključ:
Nakon toga idite na karticu PPP postavki i tamo označite korisničko ime pod kojim želimo pristupiti mreži:
Nakon toga otvorite karticu Svojstva i odredite put do ključa, certifikata klijenta i CA:
Zatvorimo ovu karticu i izvršimo konačne postavke; da biste to učinili, otvorite karticu "IP postavke" i potvrdite okvir pored opcije "Automatski pribavi adresu DNS poslužitelja":
Ova opcija će omogućiti klijentu da primi osobnu IP adresu unutar mreže od poslužitelja.
Nakon svih postavki zatvorite sve kartice i ponovno pokrenite klijent:
Povezivanje s mrežom
Nakon postavki možete se spojiti na mrežu. Da biste to učinili, otvorite karticu appleta i odaberite mrežu na koju se želimo spojiti:
Tijekom procesa uspostavljanja veze, klijent će tražiti da unesemo Rutoken PIN kod:
Ako se na statusnoj traci pojavi obavijest da je veza uspješno uspostavljena, to znači da je postavljanje bilo uspješno:
Inače, vrijedi shvatiti zašto veza nije uspostavljena. Da biste to učinili, trebali biste pogledati dnevnik programa odabirom naredbe "Informacije o vezi" u appletu:
Postavljanje Windows klijenta
Postavljanje klijenta na Windowsu mnogo je lakše nego na Linuxu jer... Sav potreban softver već je ugrađen u sustav.
Postavljanje sustava
Instalirat ćemo sve potrebne upravljačke programe za rad s Rutokenima preuzimanjem s .
Uvoz korijenskog certifikata za provjeru autentičnosti
Preuzmite korijenski certifikat poslužitelja i instalirajte ga na sustav. Da biste to učinili, otvorite ga i u prozoru koji se otvori odaberite opciju "Instaliraj certifikat":
U prozoru koji se otvori odaberite instaliranje certifikata za lokalnog korisnika. Ako želite da certifikat bude dostupan svim korisnicima na računalu, trebate odabrati instalaciju certifikata na lokalnom računalu:
Instalirajmo certifikat u pohranu pouzdanih korijenskih certifikata CA-a:
Nakon svih ovih radnji, slažemo se sa svim daljnjim točkama. Sustav je sada konfiguriran.
Postavljanje VPN veze
Za postavljanje VPN veze idite na upravljačku ploču i odaberite opciju za stvaranje nove veze.
U skočnom prozoru odaberite opciju za stvaranje veze za povezivanje sa svojim radnim mjestom:
U sljedećem prozoru odaberite VPN vezu:
i unesite detalje VPN veze, a također odredite opciju korištenja pametne kartice:
Postavljanje još nije dovršeno. Sve što preostaje je navesti zajednički ključ za IPsec protokol; da biste to učinili, idite na karticu "Postavke mrežne veze", a zatim idite na karticu "Svojstva za ovu vezu":
U prozoru koji se otvori idite na karticu "Sigurnost", navedite "L2TP/IPsec mreža" kao vrstu mreže i odaberite "Napredne postavke":
U prozoru koji se otvori navedite zajednički IPsec ključ:
veza
Nakon dovršetka postavljanja, možete se pokušati spojiti na mrežu:
Tijekom postupka povezivanja od nas će se tražiti da unesemo token PIN kod:
Postavili smo sigurnu VPN mrežu i pobrinuli se da to nije teško.
Blagodarnosti
Želio bih još jednom zahvaliti našim kolegama Vasiliju Šokovu i Aleksandru Smirnovu na zajedničkom radu kako bi pojednostavili stvaranje VPN veza za Linux klijente.
Izvor: www.habr.com