Bermasalah

Baru-baru ini, banyak yang tidak tahu bagaimana rasanya bekerja dari rumah. Pandemi ini telah mengubah situasi dunia secara drastis; setiap orang mulai beradaptasi dengan keadaan saat ini, yaitu kenyataan bahwa meninggalkan rumah sudah menjadi tidak aman. Dan banyak yang harus segera mengatur pekerjaan dari rumah untuk karyawannya.

Namun, kurangnya pendekatan yang kompeten dalam memilih solusi untuk pekerjaan jarak jauh dapat menyebabkan kerugian yang tidak dapat diubah. Kata sandi pengguna dapat dicuri, dan ini akan memungkinkan penyerang terhubung secara tidak terkendali ke jaringan dan sumber daya TI perusahaan.

Itulah sebabnya kebutuhan untuk menciptakan jaringan VPN korporat yang andal kini semakin meningkat. Saya akan menceritakannya kepada Anda dapat diandalkan, aman и sederhana dalam menggunakan jaringan VPN.

Ia bekerja sesuai dengan skema IPsec/L2TP, yang menggunakan kunci dan sertifikat yang tidak dapat diambil yang disimpan dalam token untuk mengautentikasi klien, dan juga mengirimkan data melalui jaringan dalam bentuk terenkripsi.

Server dengan CentOS 7 (alamat: centos.vpn.server.ad) dan klien dengan Ubuntu 20.04, serta klien dengan Windows 10, digunakan sebagai singkatan demonstrasi untuk konfigurasi.

Deskripsi sistem

VPN akan bekerja sesuai dengan skema IPSec + L2TP + PPP. Protokol Protokol Point-to-Point (PPP) beroperasi pada lapisan data link model OSI dan menyediakan otentikasi pengguna dan enkripsi data yang dikirimkan. Datanya dikemas dalam data protokol L2TP, yang sebenarnya memastikan terciptanya koneksi di jaringan VPN, namun tidak menyediakan otentikasi dan enkripsi.

Data L2TP dienkapsulasi dalam IPSec, yang juga menyediakan otentikasi dan enkripsi, namun tidak seperti PPP, otentikasi dan enkripsi terjadi pada tingkat perangkat, bukan pada tingkat pengguna.

Fitur ini memungkinkan Anda mengautentikasi pengguna hanya dari perangkat tertentu. Kami akan menggunakan protokol IPSec apa adanya dan mengizinkan otentikasi pengguna dari perangkat apa pun.

Otentikasi pengguna menggunakan kartu pintar akan dilakukan pada tingkat protokol PPP menggunakan protokol EAP-TLS.

Informasi lebih rinci tentang pengoperasian rangkaian ini dapat ditemukan di Artikel ini.

Mengapa skema ini memenuhi ketiga persyaratan jaringan VPN yang baik?

1. Keandalan skema ini telah teruji oleh waktu. Ini telah digunakan untuk menyebarkan jaringan VPN sejak tahun 2000.
2. Otentikasi pengguna yang aman disediakan oleh protokol PPP. Standar penerapan protokol PPP yang dikembangkan oleh Paul Mackerras tidak memberikan tingkat keamanan yang memadai, karena Untuk otentikasi, paling banter, otentikasi menggunakan login dan kata sandi digunakan. Kita semua tahu bahwa kata sandi login dapat dimata-matai, ditebak, atau dicuri. Namun, sudah lama sekali pengembangnya Jan Hanya Keijser в implementasinya Protokol ini memperbaiki masalah ini dan menambahkan kemampuan untuk menggunakan protokol berdasarkan enkripsi asimetris, seperti EAP-TLS, untuk autentikasi. Selain itu, ia menambahkan kemampuan menggunakan kartu pintar untuk otentikasi, yang membuat sistem lebih aman.
   Saat ini, negosiasi aktif sedang dilakukan untuk menggabungkan kedua proyek ini dan Anda dapat yakin bahwa cepat atau lambat hal ini akan tetap terjadi. Misalnya, versi PPP yang dipatch sudah lama ada di repositori Fedora, menggunakan protokol aman untuk autentikasi.
3. Sampai saat ini, jaringan ini hanya dapat digunakan oleh pengguna Windows, namun rekan kami dari Universitas Negeri Moskow Vasily Shokov dan Alexander Smirnov menemukan proyek klien L2TP lama untuk Linux dan memodifikasinya. Bersama-sama, kami memperbaiki banyak bug dan kekurangan dalam pekerjaan klien, menyederhanakan instalasi dan konfigurasi sistem, bahkan ketika membangun dari sumber. Yang paling penting di antaranya adalah:
   • Memperbaiki masalah kompatibilitas klien lama dengan antarmuka versi baru openssl dan qt.
   • Menghapus pppd agar tidak meneruskan PIN token melalui file sementara.
   • Memperbaiki peluncuran program permintaan kata sandi yang salah melalui antarmuka grafis. Hal ini dilakukan dengan menginstal lingkungan yang benar untuk layanan xl2tpd.
   • Pembangunan daemon L2tpIpsecVpn sekarang dilakukan bersamaan dengan pembangunan klien itu sendiri, yang menyederhanakan proses pembangunan dan konfigurasi.
   • Untuk kemudahan pengembangan, sistem Azure Pipelines tersambung untuk menguji kebenaran build.
   • Menambahkan kemampuan untuk memaksa penurunan versi tingkat keamanan dalam konteks openssl. Hal ini berguna untuk mendukung sistem operasi baru dengan benar yang tingkat keamanan standarnya ditetapkan ke 2, dengan jaringan VPN yang menggunakan sertifikat yang tidak memenuhi persyaratan keamanan tingkat ini. Opsi ini akan berguna untuk bekerja dengan jaringan VPN lama yang sudah ada.

Versi yang diperbaiki dapat ditemukan di repositori ini.

Klien ini mendukung penggunaan kartu pintar untuk otentikasi, dan juga menyembunyikan sebanyak mungkin semua kesulitan dan kesulitan dalam menyiapkan skema ini di Linux, membuat pengaturan klien sesederhana dan secepat mungkin.

Tentu saja, untuk koneksi yang nyaman antara PPP dan GUI klien, hal ini tidak mungkin dilakukan tanpa pengeditan tambahan pada setiap proyek, namun demikian, pengeditan tersebut diminimalkan dan dikurangi seminimal mungkin:

• Tetap kesalahan salah meneruskan kode PIN token dari PPP ke konteks openssl
• Tetap kesalahan dalam urutan memuat konfigurasi dan menginisialisasi konteks openssl. Kesalahan ini tidak memungkinkan kami memuat apa pun dari file konfigurasi lokal /etc/ppp/openssl.cnf kecuali informasi tentang mesin openssl untuk bekerja dengan kartu pintar, yang merupakan ketidaknyamanan serius jika, misalnya, selain informasi tentang mesin, kami ingin mengatur sesuatu yang lain. Misalnya, memperbaiki tingkat keamanan saat membuat koneksi.

Sekarang Anda dapat mulai menyiapkan.

Penyetelan Server

Mari instal semua paket yang diperlukan.

Menginstal strongswan (IPsec)

Pertama-tama, mari konfigurasikan firewall untuk operasi IPSec

sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reload

Kalau begitu mari kita mulai instalasi

sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswan

Setelah instalasi, Anda perlu mengkonfigurasi strongswan (salah satu implementasi IPSec). Untuk melakukan ini, edit file tersebut /etc/strongswan/ipsec.conf :

config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey 

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=%any
    leftprotoport=udp/1701
    right=%any
    rightprotoport=udp/%any
    ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
    esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024

Kami juga akan menetapkan kata sandi login umum. Kata sandi yang dibagikan harus diketahui oleh semua peserta jaringan untuk otentikasi. Cara ini jelas tidak bisa diandalkan, karena kata sandi ini dapat dengan mudah diketahui oleh individu yang tidak ingin kita berikan akses ke jaringan.
Namun, fakta ini pun tidak akan mempengaruhi keamanan jaringan, karena Enkripsi data dasar dan otentikasi pengguna dilakukan oleh protokol PPP. Namun sejujurnya, perlu dicatat bahwa strongswan mendukung teknologi autentikasi yang lebih aman, misalnya, menggunakan kunci pribadi. Strongswan juga memiliki kemampuan untuk menyediakan otentikasi menggunakan kartu pintar, namun sejauh ini hanya sejumlah perangkat terbatas yang didukung dan oleh karena itu otentikasi menggunakan token Rutoken dan kartu pintar masih sulit. Mari kita atur kata sandi umum melalui file /etc/strongswan/ipsec.secrets:

# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"

Mari kita mulai ulang strongswan:

sudo systemctl enable strongswan
sudo systemctl restart strongswan

Menginstal xl2tp

sudo dnf install xl2tpd

Mari kita konfigurasikan melalui file /etc/xl2tpd/xl2tpd.conf:

[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes

[lns default]
exclusive = no
; определяет статический адрес сервера в виртуальной сети
local ip = 100.10.10.1
; задает диапазон виртуальных адресов
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; данную опцию можно отключить после успешной настройки сети
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; указывает адрес сервера в сети
name = centos.vpn.server.ad

Mari kita mulai ulang layanannya:

sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpd

pengaturan PPP

Disarankan untuk menginstal pppd versi terbaru. Untuk melakukannya, jalankan urutan perintah berikut:

sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

Menulis ke file /etc/ppp/options.xl2tpd berikut ini (jika ada nilai di sana, Anda dapat menghapusnya):

ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1

noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000

Kami menerbitkan sertifikat root dan sertifikat server:

#директория с сертификатами пользователей, УЦ и сервера
sudo mkdir /etc/ppp/certs
#директория с закрытыми ключами сервера и УЦ
sudo mkdir /etc/ppp/keys
#запрещаем любой доступ к этой дирректории кроме администатора
sudo chmod 0600 /etc/ppp/keys/

#генерируем ключ и выписываем сертификат УЦ
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"

#генерируем ключ и выписываем сертификат сервера
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserial

Jadi, kita selesai dengan pengaturan server dasar. Konfigurasi server lainnya melibatkan penambahan klien baru.

Menambahkan klien baru

Untuk menambahkan klien baru ke jaringan, Anda harus menambahkan sertifikatnya ke daftar sertifikat tepercaya untuk klien ini.

Jika pengguna ingin menjadi anggota jaringan VPN, ia membuat pasangan kunci dan aplikasi sertifikat untuk klien ini. Jika pengguna dipercaya, maka aplikasi ini dapat ditandatangani, dan sertifikat yang dihasilkan dapat ditulis ke direktori sertifikat:

sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserial

Mari tambahkan baris ke file /etc/ppp/eaptls-server agar sesuai dengan nama klien dan sertifikatnya:

"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *

CATATAN
Untuk menghindari kebingungan, sebaiknya: Nama Umum, nama file sertifikat, dan nama pengguna unik.

Perlu juga diperiksa bahwa nama pengguna yang kita tambahkan tidak muncul di mana pun di file autentikasi lainnya, jika tidak, akan ada masalah dengan cara pengguna diautentikasi.

Sertifikat yang sama harus dikirim kembali ke pengguna.

Menghasilkan pasangan kunci dan sertifikat

Agar autentikasi berhasil, klien harus:

1. menghasilkan pasangan kunci;
2. memiliki sertifikat root CA;
3. memiliki sertifikat untuk pasangan kunci Anda yang ditandatangani oleh root CA.

untuk klien di Linux

Pertama, mari buat pasangan kunci pada token dan buat aplikasi untuk sertifikat:

#идентификатор ключа (параметр --id) можно заменить на любой другой.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"

Kirim aplikasi client.req yang muncul ke CA. Setelah Anda menerima sertifikat untuk pasangan kunci Anda, tuliskan ke token dengan id yang sama dengan kuncinya:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id  45

untuk klien Windows dan Linux (metode yang lebih universal)

Cara ini lebih universal karena memungkinkan Anda membuat kunci dan sertifikat yang akan berhasil dikenali oleh pengguna Windows dan Linux, tetapi memerlukan mesin Windows untuk menjalankan prosedur pembuatan kunci.

Sebelum membuat permintaan dan mengimpor sertifikat, Anda harus menambahkan sertifikat akar jaringan VPN ke daftar sertifikat tepercaya. Untuk melakukan ini, buka dan di jendela yang terbuka, pilih opsi “Instal sertifikat”:

Di jendela yang terbuka, pilih menginstal sertifikat untuk pengguna lokal:

Mari instal sertifikat di penyimpanan sertifikat akar tepercaya CA:

Setelah semua tindakan ini, kami setuju dengan semua poin selanjutnya. Sistem sekarang dikonfigurasi.

Mari buat file cert.tmp dengan konten berikut:

[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE" 
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSE

Setelah ini, kami akan membuat pasangan kunci dan membuat aplikasi untuk sertifikat. Untuk melakukannya, buka PowerShell dan masukkan perintah berikut:

certreq.exe -new -pin $PIN .cert.tmp .client.req

Kirim aplikasi client.req yang dibuat ke CA Anda dan tunggu hingga sertifikat client.pem diterima. Itu dapat ditulis ke token dan ditambahkan ke penyimpanan sertifikat Windows menggunakan perintah berikut:

certreq.exe -accept .client.pem

Perlu dicatat bahwa tindakan serupa dapat direproduksi menggunakan antarmuka grafis program mmc, namun metode ini lebih memakan waktu dan kurang dapat diprogram.

Menyiapkan klien Ubuntu

CATATAN
Menyiapkan klien di Linux saat ini cukup memakan waktu, karena... memerlukan pembuatan program terpisah dari sumbernya. Kami akan mencoba memastikan bahwa semua perubahan disertakan dalam repositori resmi dalam waktu dekat.

Untuk memastikan koneksi pada tingkat IPSec ke server, paket strongswan dan daemon xl2tp digunakan. Untuk menyederhanakan koneksi ke jaringan menggunakan kartu pintar, kami akan menggunakan paket l2tp-ipsec-vpn, yang menyediakan shell grafis untuk penyetelan koneksi yang disederhanakan.

Mari kita mulai merakit elemen langkah demi langkah, tetapi sebelum itu kita akan menginstal semua paket yang diperlukan agar VPN dapat berfungsi secara langsung:

sudo apt-get install xl2tpd strongswan libp11-3

Menginstal perangkat lunak untuk bekerja dengan token

Instal perpustakaan librtpkcs11ecp.so terbaru dari situs, juga perpustakaan untuk bekerja dengan kartu pintar:

sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-openssl

Hubungkan Rutoken dan periksa apakah itu dikenali oleh sistem:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so  -O -l

Menginstal ppp yang ditambal

sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

Menginstal klien L2tpIpsecVpn

Saat ini, klien juga perlu dikompilasi dari kode sumber. Ini dilakukan dengan menggunakan urutan perintah berikut:

sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make install

Menyiapkan klien L2tpIpsecVpn

Luncurkan klien yang diinstal:

Setelah diluncurkan, applet L2tpIpsecVPN akan terbuka. Klik kanan padanya dan konfigurasikan koneksi:

Untuk bekerja dengan token, pertama-tama, kami menunjukkan jalur ke mesin opensc dari mesin OpenSSL dan perpustakaan PKCS#11. Untuk melakukan ini, buka tab "Preferensi" untuk mengonfigurasi parameter openssl:

.

Mari tutup jendela pengaturan OpenSSL dan lanjutkan ke pengaturan jaringan. Mari tambahkan jaringan baru dengan mengklik tombol Tambah... di panel pengaturan dan masukkan nama jaringan:

Setelah ini, jaringan ini akan tersedia di panel pengaturan. Klik kanan dua kali pada jaringan baru untuk mengkonfigurasinya. Pada tab pertama Anda perlu membuat pengaturan IPsec. Mari kita atur alamat server dan kunci publik:

Setelah ini, buka tab pengaturan PPP dan tunjukkan di sana nama pengguna yang ingin kita akses jaringannya:

Setelah ini, buka tab Properti dan tentukan jalur ke kunci, sertifikat klien, dan CA:

Mari tutup tab ini dan lakukan pengaturan terakhir; untuk melakukan ini, buka tab "Pengaturan IP" dan centang kotak di sebelah opsi "Dapatkan alamat server DNS secara otomatis":

Opsi ini akan memungkinkan klien menerima alamat IP pribadi dalam jaringan dari server.

Setelah semua pengaturan, tutup semua tab dan mulai ulang klien:

Koneksi jaringan

Setelah pengaturan, Anda dapat terhubung ke jaringan. Untuk melakukan ini, buka tab applet dan pilih jaringan yang ingin kita sambungkan:

Selama proses pembuatan koneksi, klien akan meminta kami memasukkan kode PIN Rutoken:

Jika muncul notifikasi di status bar bahwa koneksi berhasil dibuat, berarti setup berhasil:

Jika tidak, ada baiknya mencari tahu mengapa koneksi tidak terjalin. Untuk melakukan ini, Anda harus melihat log program dengan memilih perintah "Informasi koneksi" di applet:

Menyiapkan klien Windows

Menyiapkan klien di Windows jauh lebih mudah daripada di Linux, karena... Semua perangkat lunak yang diperlukan sudah terpasang di dalam sistem.

Pengaturan sistem

Kami akan menginstal semua driver yang diperlukan untuk bekerja dengan Rutokens dengan mengunduhnya dari. lokasi.

Mengimpor sertifikat root untuk otentikasi

Unduh sertifikat akar server dan instal pada sistem. Untuk melakukan ini, buka dan di jendela yang terbuka, pilih opsi “Instal sertifikat”:

Di jendela yang terbuka, pilih menginstal sertifikat untuk pengguna lokal. Jika Anda ingin sertifikat tersedia untuk semua pengguna di komputer, Anda harus memilih untuk menginstal sertifikat di komputer lokal:

Mari instal sertifikat di penyimpanan sertifikat akar tepercaya CA:

Setelah semua tindakan ini, kami setuju dengan semua poin selanjutnya. Sistem sekarang dikonfigurasi.

Menyiapkan koneksi VPN

Untuk mengatur koneksi VPN, buka panel kontrol dan pilih opsi untuk membuat koneksi baru.

Di jendela pop-up, pilih opsi untuk membuat koneksi untuk terhubung ke tempat kerja Anda:

Di jendela berikutnya, pilih koneksi VPN:

dan masukkan detail koneksi VPN, dan tentukan juga opsi untuk menggunakan kartu pintar:

Penyiapannya belum selesai. Yang tersisa hanyalah menentukan kunci bersama untuk protokol IPsec; untuk melakukan ini, buka tab "Pengaturan koneksi jaringan" dan kemudian buka tab "Properti untuk koneksi ini":

Di jendela yang terbuka, buka tab “Keamanan”, tentukan “Jaringan L2TP/IPsec” sebagai jenis jaringan dan pilih “Pengaturan Lanjutan”:

Di jendela yang terbuka, tentukan kunci IPSec bersama:

Подключение

Setelah menyelesaikan penyiapan, Anda dapat mencoba menyambung ke jaringan:

Pada proses koneksi, kita akan diminta memasukkan kode PIN token:

Kami telah menyiapkan jaringan VPN yang aman dan memastikannya tidak sulit.

Ucapan Terima Kasih

Saya ingin mengucapkan terima kasih sekali lagi kepada kolega kami Vasily Shokov dan Alexander Smirnov atas kerja sama yang telah mereka lakukan untuk menyederhanakan pembuatan koneksi VPN untuk klien Linux.

Sumber: www.habr.com