Pwoblèm
Jis dènyèman, anpil moun pa t 'konnen ki sa li te tankou travay nan kay la. Pandemi a te chanje dramatikman sitiyasyon an nan mond lan; tout moun te kòmanse adapte yo ak sikonstans aktyèl yo, sètadi nan lefèt ke li te vin tou senpleman ensekirite kite kay la. Ak anpil te oblije byen vit òganize travay nan kay pou anplwaye yo.
Sepandan, mank de yon apwòch konpetan nan chwazi solisyon pou travay aleka ka mennen nan pèt irevokabl. Modpas itilizatè yo ka vòlè, e sa pral pèmèt yon atakè konekte san kontwòl ak rezo a ak resous IT nan antrepriz la.
Se poutèt sa bezwen pou kreye yon rezo vpn antrepriz serye kounye a ogmante. Mwen pral di ou sou serye, san danje и senp lè l sèvi avèk yon rezo VPN.
Li travay dapre konplo IPsec/L2TP, ki sèvi ak kle ki pa ka jwenn ak sètifika ki estoke sou marqueur pou otantifye kliyan, epi tou transmèt done sou rezo a nan fòm chiffres.
Yon sèvè ak CentOS 7 (adrès: centos.vpn.server.ad) ak yon kliyan ak Ubuntu 20.04, osi byen ke yon kliyan ak Windows 10, yo te itilize kòm demonstrasyon kanpe pou konfigirasyon.
Sistèm Deskripsyon
VPN a pral travay dapre konplo IPSec + L2TP + PPP. Pwotokòl Pwotokòl pwen-a-pwen (Pp) opere nan kouch lyen done nan modèl OSI a epi li bay otantifikasyon itilizatè ak chifreman done transmèt yo. Done li yo ankapsule nan done pwotokòl L2TP, ki aktyèlman asire kreyasyon yon koneksyon nan rezo VPN a, men li pa bay otantifikasyon ak chifreman.
Done L2TP yo enkapsule nan IPSec, ki bay otantifikasyon ak chifreman tou, men kontrèman ak PPP, otantifikasyon ak chifreman fèt nan nivo aparèy la, pa nan nivo itilizatè a.
Karakteristik sa a pèmèt ou otantifye itilizatè yo sèlman nan sèten aparèy. Nou pral sèvi ak pwotokòl IPSec jan li ye a epi pèmèt otantifikasyon itilizatè a soti nan nenpòt aparèy.
Otantifikasyon itilizatè lè l sèvi avèk kat entelijan pral fèt nan nivo pwotokòl PPP lè l sèvi avèk pwotokòl EAP-TLS la.
Ou ka jwenn plis enfòmasyon detaye sou operasyon sikwi sa a nan .
Poukisa konplo sa a satisfè tout twa kondisyon yon bon rezo VPN?
- Te fyab nan konplo sa a te teste pa tan. Li te itilize pou deplwaye rezo VPN depi 2000.
- Pwotokòl PPP bay otantifikasyon itilizatè an sekirite. pa bay yon nivo ase sekirite, paske Pou otantifikasyon, nan pi bon ka a, otantifikasyon lè l sèvi avèk yon login ak modpas yo itilize. Nou tout konnen ke yon modpas login ka espyone sou, devine oswa vòlè. Sepandan, pou yon tan long kounye a pwomotè a в Pwotokòl sa a te korije pwoblèm sa a epi li te ajoute kapasite pou itilize pwotokòl ki baze sou chifreman asimetri, tankou EAP-TLS, pou otantifikasyon. Anplis de sa, li te ajoute kapasite nan sèvi ak kat entelijan pou otantifikasyon, ki te fè sistèm nan pi an sekirite.
Kounye a, negosyasyon aktif yo ap fèt pou rantre de pwojè sa yo epi ou ka sèten ke pi bonè oswa pita sa a pral rive kanmenm. Pou egzanp, yon vèsyon patched nan PPP te nan depo Fedora yo pou yon tan long, lè l sèvi avèk pwotokòl an sekirite pou otantifikasyon. - Jiska dènyèman, rezo sa a te kapab itilize sèlman pa itilizatè Windows, men kòlèg nou yo nan Moskou State University Vasily Shokov ak Alexander Smirnov te jwenn epi modifye li. Ansanm, nou ranje anpil pinèz ak enpèfeksyon nan travay kliyan an, senplifye enstalasyon an ak konfigirasyon nan sistèm nan, menm lè bati soti nan sous. Ki pi enpòtan nan yo se:
- Fiks pwoblèm konpatibilite nan kliyan an fin vye granmoun ak koòdone nan nouvo vèsyon nan openssl ak qt.
- Retire pppd nan pase PIN siy la nan yon dosye tanporè.
- Fiks lansman kòrèk nan pwogram demann modpas la atravè koòdone grafik la. Sa a te fè pa enstale anviwònman ki kòrèk la pou sèvis la xl2tpd.
- Konstriksyon demon an L2tpIpsecVpn kounye a fèt ansanm ak konstriksyon kliyan an li menm, ki senplifye pwosesis konstriksyon ak konfigirasyon an.
- Pou fasilite devlopman, sistèm Azure Pipelines konekte pou teste bonite konstriksyon an.
- Te ajoute kapasite pou fòse downgrade nan kontèks openssl. Sa a itil pou korèkteman sipòte nouvo sistèm operasyon kote nivo sekirite estanda yo mete sou 2, ak rezo VPN ki sèvi ak sètifika ki pa satisfè kondisyon sekirite nivo sa a. Opsyon sa a pral itil pou travay ak ansyen rezo VPN ki egziste deja.
Ou ka jwenn vèsyon korije a nan .
Kliyan sa a sipòte itilizasyon kat entelijan pou otantifikasyon, epi tou kache otank posib tout difikilte ak difikilte pou mete konplo sa a anba Linux, sa ki fè konfigirasyon kliyan an senp epi vit ke posib.
Natirèlman, pou yon koneksyon pratik ant PPP ak entèfas kliyan an, li pa t posib san yo pa modifye adisyonèl nan chak nan pwojè yo, men kanmenm yo te minimize ak redwi a yon minimòm:
- Fiks
- Fiks . Erè sa a pa t pèmèt nou chaje anyen nan dosye konfigirasyon lokal /etc/ppp/openssl.cnf eksepte enfòmasyon sou motè openssl pou travay ak kat entelijan, ki te yon gwo deranjman si, pa egzanp, anplis enfòmasyon sou motè yo, nou te vle mete yon lòt bagay. Pou egzanp, ranje nivo sekirite a lè etabli yon koneksyon.
Koulye a, ou ka kòmanse mete kanpe.
Akor sèvè
Ann enstale tout pakè ki nesesè yo.
Enstale strongswan (IPsec)
Premye a tout, se pou yo konfigirasyon firewall la pou operasyon ipsec
sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reloadLè sa a, an n kòmanse enstalasyon
sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswanApre enstalasyon, ou bezwen konfigirasyon strongswan (youn nan aplikasyon IPSec yo). Pou fè sa, edite fichye a /etc/strongswan/ipsec.conf :
config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey
conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=%any
leftprotoport=udp/1701
right=%any
rightprotoport=udp/%any
ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024Nou pral tou mete yon modpas login komen. Tout patisipan rezo yo dwe konnen modpas la pataje pou otantifikasyon. Metòd sa a se evidamman enfidèl, paske modpas sa a ka fasilman vin konnen moun nou pa vle bay aksè nan rezo a.
Sepandan, menm reyalite sa a pa pral afekte sekirite rezo a, paske Pwotokòl PPP a se cryptage done debaz ak otantifikasyon itilizatè. Men, nan jistis, li vo anyen ke strongswan sipòte teknoloji ki pi an sekirite pou otantifikasyon, pou egzanp, lè l sèvi avèk kle prive. Strongswan tou gen kapasite pou bay otantifikasyon lè l sèvi avèk kat entelijan, men jiskaprezan sèlman yon seri limite nan aparèy yo sipòte ak Se poutèt sa otantifikasyon lè l sèvi avèk jeton Rutoken ak kat entelijan toujou difisil. Ann mete yon modpas jeneral atravè dosye /etc/strongswan/ipsec.secrets:
# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"Ann rekòmanse strongswan:
sudo systemctl enable strongswan
sudo systemctl restart strongswanEnstale xl2tp
sudo dnf install xl2tpdAnn konfigirasyon li atravè dosye /etc/xl2tpd/xl2tpd.conf:
[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes
[lns default]
exclusive = no
; определяет статический адрес сервера в виртуальной сети
local ip = 100.10.10.1
; задает диапазон виртуальных адресов
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; данную опцию можно отключить после успешной настройки сети
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; указывает адрес сервера в сети
name = centos.vpn.server.adAnn rekòmanse sèvis la:
sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpdPPP konfigirasyon
Li rekòmande pou enstale dènye vèsyon pppd la. Pou fè sa, egzekite sekans sa a nan kòmandman:
sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make installEkri nan dosye /etc/ppp/options.xl2tpd sa ki annapre yo (si gen nenpòt valè la, ou ka efase yo):
ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1
noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000Nou bay sètifika rasin lan ak sètifika sèvè a:
#директория с сертификатами пользователей, УЦ и сервера
sudo mkdir /etc/ppp/certs
#директория с закрытыми ключами сервера и УЦ
sudo mkdir /etc/ppp/keys
#запрещаем любой доступ к этой дирректории кроме администатора
sudo chmod 0600 /etc/ppp/keys/
#генерируем ключ и выписываем сертификат УЦ
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"
#генерируем ключ и выписываем сертификат сервера
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserialKidonk, nou fini ak konfigirasyon sèvè debaz la. Rès konfigirasyon sèvè a enplike nan ajoute nouvo kliyan.
Ajoute yon nouvo kliyan
Pou ajoute yon nouvo kliyan nan rezo a, ou dwe ajoute sètifika li a nan lis moun ou fè konfyans pou kliyan sa a.
Si yon itilizatè vle vin yon manm nan yon rezo VPN, li kreye yon pè kle ak yon aplikasyon sètifika pou kliyan sa a. Si itilizatè a fè konfyans, Lè sa a, aplikasyon sa a ka siyen, epi sètifika a ki kapab lakòz yo ka ekri nan anyè sètifika yo:
sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserialAnn ajoute yon liy nan fichye /etc/ppp/eaptls-server pou matche non kliyan an ak sètifika li yo:
"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *NÒT
Pou evite konfizyon, li pi bon ke: Non komen, non dosye sètifika ak non itilizatè a inik.
Li se tou vo tcheke non itilizatè a n ap ajoute a pa parèt okenn kote nan lòt dosye otantifikasyon, otreman pral gen pwoblèm ak fason itilizatè a otantifye.
Yo dwe voye menm sètifika a tounen bay itilizatè a.
Jenere yon pè kle ak sètifika
Pou otantifikasyon siksè, kliyan an dwe:
- jenere yon pè kle;
- gen yon sètifika rasin CA;
- gen yon sètifika pou pè kle ou siyen pa rasin CA a.
pou kliyan sou Linux
Premyèman, ann jenere yon pè kle sou siy la epi kreye yon aplikasyon pou sètifika a:
#идентификатор ключа (параметр --id) можно заменить на любой другой.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45
openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"Voye aplikasyon client.req ki parèt bay CA a. Yon fwa ou resevwa yon sètifika pou pè kle ou a, ekri li sou yon siy ki gen menm idantite ak kle a:
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id 45pou kliyan Windows ak Linux (metòd plis inivèsèl)
Metòd sa a pi inivèsèl, paske pèmèt ou jenere yon kle ak sètifika ke itilizatè Windows ak Linux pral rekonèt avèk siksè, men li mande pou yon machin Windows pote pwosedi jenerasyon kle a.
Anvan ou jenere demann ak enpòte sètifika, ou dwe ajoute sètifika rasin rezo VPN la nan lis moun ou fè konfyans. Pou fè sa, louvri li epi nan fenèt la ki louvri, chwazi opsyon "Enstale sètifika":
Nan fenèt ki ouvè a, chwazi enstale yon sètifika pou itilizatè lokal la:
Ann enstale sètifika a nan magazen sètifika rasin ou fè konfyans CA a:
Apre tout aksyon sa yo, nou dakò ak tout lòt pwen. Se sistèm nan kounye a configuré.
Ann kreye yon fichye cert.tmp ak kontni sa a:
[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE"
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSEApre sa, nou pral jenere yon pè kle epi kreye yon aplikasyon pou sètifika a. Pou fè sa, louvri Powershell epi antre nan lòd sa a:
certreq.exe -new -pin $PIN .cert.tmp .client.reqVoye aplikasyon ki te kreye client.req bay CA ou a epi tann pou resevwa sètifika client.pem la. Li ka ekri nan yon siy epi ajoute nan magazen sètifika Windows lè l sèvi avèk lòd sa a:
certreq.exe -accept .client.pemLi se vo anyen ke aksyon menm jan an ka repwodui lè l sèvi avèk koòdone grafik nan pwogram nan mmc, men metòd sa a se plis tan konsome ak mwens pwogramasyon.
Mete kanpe kliyan Ubuntu a
NÒT
Mete kanpe yon kliyan sou Linux se kounye a byen pran tan, paske ... mande pou konstwi pwogram separe de sous. Nou pral eseye asire ke tout chanjman yo enkli nan depo ofisyèl yo nan fiti prè.
Pou asire koneksyon nan nivo IPSec ak sèvè a, yo itilize pake strongswan ak demon xl2tp la. Pou senplifye koneksyon nan rezo a lè l sèvi avèk kat entelijan, nou pral itilize pake l2tp-ipsec-vpn, ki bay yon kokiy grafik pou konfigirasyon koneksyon senplifye.
Ann kòmanse rasanble eleman yo etap pa etap, men anvan sa nou pral enstale tout pakè ki nesesè pou VPN a travay dirèkteman:
sudo apt-get install xl2tpd strongswan libp11-3Enstale lojisyèl pou travay ak marqueur
Enstale dènye bibliyotèk librtpkcs11ecp.so soti nan , tou bibliyotèk pou travay ak kat entelijan:
sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-opensslKonekte Rutoken epi tcheke si sistèm lan rekonèt li:
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O -lEnstale patched ppp
sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make installEnstale kliyan an L2tpIpsecVpn
Nan moman sa a, kliyan an bezwen tou konpile nan kòd sous. Sa a se fè lè l sèvi avèk sekans sa a nan kòmandman:
sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make installMete kanpe kliyan an L2tpIpsecVpn
Lanse kliyan ki enstale a:
Apre lansman, applet L2tpIpsecVPN a ta dwe louvri. Dwa-klike sou li epi konfigirasyon koneksyon an:
Pou travay ak tokens, anvan tout bagay, nou endike chemen motè opensc motè OpenSSL ak bibliyotèk PKCS#11. Pou fè sa, louvri tab "Pwoferans" pou konfigirasyon paramèt openssl:
.
Ann fèmen fenèt anviwònman OpenSSL la epi ale nan mete kanpe rezo a. Ann ajoute yon nouvo rezo lè w klike sou bouton Add... nan panèl paramèt la epi antre non rezo a:
Apre sa, rezo sa a ap vin disponib nan panèl anviwònman an. Double-klike sou nouvo rezo a pou konfigirasyon li. Sou premye tab la ou bezwen fè paramèt IPsec. Ann mete adrès sèvè a ak kle piblik la:
Apre sa, ale nan tab la PPP anviwònman epi endike non itilizatè a anba ki nou vle jwenn aksè nan rezo a:
Apre sa, louvri tab la Pwopriyete epi presize chemen ki mennen nan kle a, sètifika kliyan ak CA:
Ann fèmen tab sa a epi fè paramèt final yo; pou fè sa, louvri tab la "Anviwònman IP" epi tcheke ti bwat ki akote opsyon "Jwenn adrès sèvè DNS otomatikman" la:
Opsyon sa a pral pèmèt kliyan an resevwa yon adrès IP pèsonèl nan rezo a soti nan sèvè a.
Apre tout paramèt yo, fèmen tout onglè yo epi rekòmanse kliyan an:
Konekte nan rezo a
Apre anviwònman yo, ou ka konekte nan rezo a. Pou fè sa, louvri tab la applet epi chwazi rezo a ki nou vle konekte:
Pandan pwosesis etablisman koneksyon an, kliyan an ap mande nou antre kòd PIN Rutoken la:
Si yon notifikasyon parèt nan ba estati a ke koneksyon an te etabli avèk siksè, sa vle di ke konfigirasyon an te reyisi:
Sinon, li vo konnen poukisa koneksyon an pa te etabli. Pou fè sa, ou ta dwe gade nan boutèy demi lit pwogram lan lè w chwazi lòd "Enfòmasyon sou koneksyon" nan applet la:
Mete kanpe kliyan Windows la
Mete kanpe yon kliyan sou Windows se pi fasil pase sou Linux, paske... Tout lojisyèl ki nesesè yo deja bati nan sistèm lan.
Enstalasyon sistèm
Nou pral enstale tout chofè ki nesesè pou travay ak Rutokens lè nou telechaje yo nan .
Enpòte yon sètifika rasin pou otantifikasyon
Telechaje sètifika rasin sèvè a epi enstale li sou sistèm lan. Pou fè sa, louvri li epi nan fenèt la ki louvri, chwazi opsyon "Enstale sètifika":
Nan fenèt ki ouvè a, chwazi enstale yon sètifika pou itilizatè lokal la. Si ou vle sètifika a disponib pou tout itilizatè sou òdinatè a, Lè sa a, ou ta dwe chwazi enstale sètifika a sou òdinatè lokal la:
Ann enstale sètifika a nan magazen sètifika rasin ou fè konfyans CA a:
Apre tout aksyon sa yo, nou dakò ak tout lòt pwen. Se sistèm nan kounye a configuré.
Mete kanpe yon koneksyon VPN
Pou mete yon koneksyon VPN, ale nan panèl kontwòl la epi chwazi opsyon pou kreye yon nouvo koneksyon.
Nan fenèt pop-up la, chwazi opsyon pou kreye yon koneksyon pou konekte ak espas travay ou:
Nan pwochen fenèt la, chwazi yon koneksyon VPN:
epi antre detay koneksyon VPN yo, epi tou presize opsyon pou itilize yon kat entelijan:
Konfigirasyon an poko fini. Tout sa ki rete se presize kle pataje pou pwotokòl IPsec la; pou fè sa, ale nan tab "Anviwònman koneksyon rezo a" epi ale nan tab "Pwopriyete pou koneksyon sa a":
Nan fennèt la ki louvri, ale nan tab la "Sekirite", presize "L2TP/IPsec Network" kòm kalite rezo a epi chwazi "Anviwònman Avanse":
Nan fenèt la ki louvri, presize kle IPsec pataje a:
Подключение
Apre w fin ranpli konfigirasyon an, ou ka eseye konekte nan rezo a:
Pandan pwosesis koneksyon an, nou pral oblije antre kòd PIN siy la:
Nou te etabli yon rezo VPN an sekirite epi asire w ke li pa difisil.
Remèsiman
Mwen ta renmen yon lòt fwa ankò remèsye kòlèg nou yo Vasily Shokov ak Alexander Smirnov pou travay yo te fè ansanm pou senplifye kreyasyon koneksyon VPN pou kliyan Linux.
Sous: www.habr.com