נושאים

רק לאחרונה, רבים לא ידעו איך זה לעבוד מהבית. המגיפה שינתה באופן דרמטי את המצב בעולם; כולם החלו להסתגל לנסיבות הנוכחיות, כלומר לעובדה שפשוט לא בטוח לצאת מהבית. ורבים נאלצו לארגן במהירות עבודה מהבית עבור העובדים שלהם.

עם זאת, היעדר גישה מוסמכת לבחירת פתרונות לעבודה מרחוק יכול להוביל להפסדים בלתי הפיכים. ניתן לגנוב סיסמאות משתמש, וזה יאפשר לתוקף להתחבר בצורה בלתי נשלטת לרשת ולמשאבי ה-IT של הארגון.

זו הסיבה שהצורך ביצירת רשתות VPN ארגוניות אמינות גדל כעת. אני אספר לך על אמין, בטוח и פשוט בשימוש ברשת VPN.

זה עובד לפי סכימת IPsec/L2TP, המשתמשת במפתחות ואישורים שאינם ניתנים לשליפה המאוחסנים באסימונים כדי לאמת לקוחות, וגם משדרת נתונים דרך הרשת בצורה מוצפנת.

שרת עם CentOS 7 (כתובת: centos.vpn.server.ad) ולקוח עם אובונטו 20.04, כמו גם לקוח עם Windows 10, שימשו כמעמדי הדגמה לתצורה.

תיאור המערכת

ה-VPN יעבוד לפי סכימת IPSec + L2TP + PPP. נוהל פרוטוקול נקודה לנקודה (PPP) פועלת בשכבת קישור הנתונים של מודל ה-OSI ומספקת אימות משתמש והצפנה של נתונים משודרים. הנתונים שלו מובלעים בנתונים של פרוטוקול L2TP, המבטיח למעשה יצירת חיבור ברשת ה-VPN, אך אינו מספק אימות והצפנה.

נתוני L2TP מובלעים ב-IPSec, המספק גם אימות והצפנה, אך בניגוד ל-PPP, אימות והצפנה מתרחשים ברמת המכשיר, ולא ברמת המשתמש.

תכונה זו מאפשרת לך לאמת משתמשים רק ממכשירים מסוימים. אנו נשתמש בפרוטוקול IPSec כפי שהוא ונאפשר אימות משתמש מכל מכשיר.

אימות משתמש באמצעות כרטיסים חכמים יבוצע ברמת פרוטוקול PPP באמצעות פרוטוקול EAP-TLS.

מידע מפורט יותר על פעולתו של מעגל זה ניתן למצוא ב מאמר זה.

מדוע תכנית זו עומדת בכל שלוש הדרישות של רשת VPN טובה?

1. האמינות של תכנית זו נבדקה על ידי זמן. הוא שימש לפריסת רשתות VPN מאז שנת 2000.
2. אימות משתמש מאובטח מסופק על ידי פרוטוקול PPP. יישום סטנדרטי של פרוטוקול PPP שפותח על ידי Paul Mackerras אינו מספק רמת אבטחה מספקת, כי לצורך אימות, במקרה הטוב, נעשה שימוש באימות באמצעות כניסה וסיסמה. כולנו יודעים שניתן לרגל, לנחש או לגנוב סיסמת כניסה. עם זאת, כבר הרבה זמן היזם יאן רק קיסר в יישומו פרוטוקול זה תיקן בעיה זו והוסיף את היכולת להשתמש בפרוטוקולים המבוססים על הצפנה אסימטרית, כגון EAP-TLS, לצורך אימות. בנוסף, הוא הוסיף את היכולת להשתמש בכרטיסים חכמים לאימות, מה שהפך את המערכת לאבטחה יותר.
   נכון לעכשיו, מתנהל משא ומתן פעיל למיזוג שני הפרויקטים הללו ואתם יכולים להיות בטוחים שבמוקדם או במאוחר זה יקרה בכל מקרה. לדוגמה, גרסה מתוקנת של PPP נמצאת במאגרי Fedora במשך זמן רב, תוך שימוש בפרוטוקולים מאובטחים לאימות.
3. עד לאחרונה, רשת זו הייתה יכולה לשמש רק משתמשי Windows, אך עמיתינו מאוניברסיטת מוסקבה וסילי שוקוב ואלכסנדר סמירנוב מצאו פרויקט לקוח L2TP ישן עבור לינוקס ושינה אותו. יחד תיקנו באגים וליקויים רבים בעבודת הלקוח, פישטנו את ההתקנה והקונפיגורציה של המערכת, גם בבנייה ממקור. המשמעותיים שבהם הם:
   • תיקנו בעיות תאימות של הלקוח הישן עם הממשק של גרסאות חדשות של openssl ו-qt.
   • הוסר pppd מהעברת ה-PIN האסימון דרך קובץ זמני.
   • תוקן הפעלה שגויה של תוכנית בקשת הסיסמה דרך הממשק הגרפי. זה נעשה על ידי התקנת הסביבה הנכונה עבור שירות xl2tpd.
   • בניית הדמון L2tpIpsecVpn מתבצעת כעת יחד עם בניית הלקוח עצמו, מה שמפשט את תהליך הבנייה והתצורה.
   • כדי להקל על הפיתוח, מערכת Azure Pipelines מחוברת לבדיקת נכונות ה-build.
   • נוספה את היכולת לכפות שדרוג לאחור רמת אבטחה בהקשר של openssl. זה שימושי לתמיכה נכונה במערכות הפעלה חדשות שבהן רמת האבטחה הסטנדרטית מוגדרת ל-2, עם רשתות VPN המשתמשות בתעודות שאינן עומדות בדרישות האבטחה של רמה זו. אפשרות זו תהיה שימושית לעבודה עם רשתות VPN ישנות קיימות.

את הגרסה המתוקנת ניתן למצוא ב המאגר הזה.

לקוח זה תומך בשימוש בכרטיסים חכמים לאימות, וגם מסתיר ככל האפשר את כל הקשיים והקשיים של הגדרת סכימה זו תחת לינוקס, מה שהופך את הגדרת הלקוח לפשוטה ומהירה ככל האפשר.

כמובן שלצורך חיבור נוח בין PPP ל-GUI של הלקוח, לא ניתן היה ללא עריכות נוספות לכל אחד מהפרויקטים, אך למרות זאת הן צומצמו והצטמצמו למינימום:

• תוקן שגיאה של העברה שגויה של קוד ה-PIN האסימון מ-PPP להקשר openssl
• תוקן שגיאה בסדר טעינת התצורה ואתחול ההקשר openssl. שגיאה זו לא אפשרה לנו לטעון שום דבר מקובץ התצורה המקומי /etc/ppp/openssl.cnf מלבד מידע על מנועי openssl לעבודה עם כרטיסים חכמים, מה שהיווה אי נוחות רצינית אם, למשל, בנוסף למידע על מנועים, רצינו לקבוע משהו אחר. לדוגמה, תקן את רמת האבטחה בעת יצירת חיבור.

עכשיו אתה יכול להתחיל בהגדרה.

כוונון שרת

בואו נתקין את כל החבילות הדרושות.

התקנת strongswan (IPsec)

קודם כל, בואו נגדיר את חומת האש לפעולת ipsec

sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reload

אז בואו נתחיל בהתקנה

sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswan

לאחר ההתקנה, עליך להגדיר את strongswan (אחד מיישומי IPSec). לשם כך, ערוך את הקובץ /etc/strongswan/ipsec.conf :

config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey 

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=%any
    leftprotoport=udp/1701
    right=%any
    rightprotoport=udp/%any
    ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
    esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024

אנו גם נגדיר סיסמת כניסה משותפת. הסיסמה המשותפת חייבת להיות ידועה לכל משתתפי הרשת לצורך אימות. שיטה זו היא ללא ספק לא אמינה, כי סיסמה זו יכולה להתפרסם בקלות לאנשים שאיננו רוצים לספק להם גישה לרשת.
עם זאת, גם עובדה זו לא תשפיע על אבטחת הרשת, כי הצפנת נתונים בסיסית ואימות משתמש מתבצעים על ידי פרוטוקול PPP. אבל למען ההגינות, ראוי לציין ש-strongswan תומך בטכנולוגיות מאובטחות יותר לאימות, למשל, באמצעות מפתחות פרטיים. ל-Strongswan יש גם את היכולת לספק אימות באמצעות כרטיסים חכמים, אך עד כה רק מגוון מצומצם של מכשירים נתמך ולכן האימות באמצעות אסימוני Rutoken וכרטיסים חכמים עדיין קשה. בואו נגדיר סיסמה כללית באמצעות קובץ /etc/strongswan/ipsec.secrets:

# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"

בואו נתחיל מחדש את strongswan:

sudo systemctl enable strongswan
sudo systemctl restart strongswan

מתקין xl2tp

sudo dnf install xl2tpd

בואו נגדיר את זה באמצעות קובץ /etc/xl2tpd/xl2tpd.conf:

[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes

[lns default]
exclusive = no
; определяет статический адрес сервера в виртуальной сети
local ip = 100.10.10.1
; задает диапазон виртуальных адресов
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; данную опцию можно отключить после успешной настройки сети
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; указывает адрес сервера в сети
name = centos.vpn.server.ad

בואו נתחיל מחדש את השירות:

sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpd

הגדרת PPP

רצוי להתקין את הגרסה העדכנית ביותר של pppd. לשם כך, בצע את רצף הפקודות הבא:

sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

כתוב לקובץ /etc/ppp/options.xl2tpd הבא (אם יש שם ערכים, אתה יכול למחוק אותם):

ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1

noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000

אנו מנפיקים את אישור השורש ואת אישור השרת:

#директория с сертификатами пользователей, УЦ и сервера
sudo mkdir /etc/ppp/certs
#директория с закрытыми ключами сервера и УЦ
sudo mkdir /etc/ppp/keys
#запрещаем любой доступ к этой дирректории кроме администатора
sudo chmod 0600 /etc/ppp/keys/

#генерируем ключ и выписываем сертификат УЦ
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"

#генерируем ключ и выписываем сертификат сервера
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserial

לפיכך, סיימנו עם הגדרת השרת הבסיסית. שאר תצורת השרת כוללת הוספת לקוחות חדשים.

הוספת לקוח חדש

כדי להוסיף לקוח חדש לרשת, עליך להוסיף את האישור שלו לרשימת מהימנים עבור לקוח זה.

אם משתמש רוצה להיות חבר ברשת VPN, הוא יוצר זוג מפתחות ויישום אישור עבור לקוח זה. אם המשתמש אמין, ניתן לחתום על יישום זה, וניתן לכתוב את האישור המתקבל לספריית האישורים:

sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserial

בואו נוסיף שורה לקובץ /etc/ppp/eaptls-server שתתאים לשם הלקוח והתעודה שלו:

"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *

הערה
כדי למנוע בלבול, עדיף ש: שם משותף, שם קובץ האישור ושם המשתמש יהיו ייחודיים.

כדאי גם לבדוק ששם המשתמש שאנו מוסיפים לא מופיע בשום מקום בקבצי אימות אחרים, אחרת יהיו בעיות באופן האימות של המשתמש.

יש לשלוח את אותו אישור בחזרה למשתמש.

הפקת זוג מפתחות ותעודה

לצורך אימות מוצלח, הלקוח חייב:

1. ליצור זוג מפתחות;
2. יש אישור שורש CA;
3. יש לך אישור עבור זוג המפתחות שלך חתום על ידי ה-CA השורש.

עבור לקוח בלינוקס

ראשית, בואו ניצור זוג מפתחות על האסימון וניצור אפליקציה עבור האישור:

#идентификатор ключа (параметр --id) можно заменить на любой другой.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"

שלח את היישום client.req המופיע ל-CA. לאחר שתקבל אישור עבור זוג המפתחות שלך, כתוב אותו לאסימון עם אותו מזהה כמו המפתח:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id  45

עבור לקוחות Windows ו-Linux (שיטה אוניברסלית יותר)

שיטה זו היא אוניברסלית יותר, כי מאפשר לך ליצור מפתח ותעודה שיזוהו בהצלחה על ידי משתמשי Windows ו-Linux, אך זה מצריך מחשב Windows כדי לבצע את הליך יצירת המפתחות.

לפני יצירת בקשות וייבוא ​​אישורים, עליך להוסיף את אישור השורש של רשת ה-VPN לרשימת האישורים המהימנים. כדי לעשות זאת, פתח אותו ובחלון שנפתח בחר באפשרות "התקן אישור":

בחלון שנפתח, בחר בהתקנת אישור עבור המשתמש המקומי:

בואו נתקין את האישור במאגר אישורי השורש המהימן של ה-CA:

לאחר כל הפעולות הללו, אנו מסכימים עם כל הנקודות הנוספות. המערכת מוגדרת כעת.

בואו ניצור קובץ cert.tmp עם התוכן הבא:

[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE" 
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSE

לאחר מכן, ניצור זוג מפתחות וניצור אפליקציה לאישור. כדי לעשות זאת, פתח את Powershell והזן את הפקודה הבאה:

certreq.exe -new -pin $PIN .cert.tmp .client.req

שלח את היישום שנוצר client.req ל-CA שלך והמתן עד לקבלת אישור client.pem. ניתן לכתוב אותו לטוקן ולהוסיף אותו למאגר האישורים של Windows באמצעות הפקודה הבאה:

certreq.exe -accept .client.pem

ראוי לציין שניתן לשחזר פעולות דומות באמצעות הממשק הגרפי של תוכנית mmc, אך שיטה זו גוזלת זמן רב יותר ופחות ניתנת לתכנות.

הגדרת לקוח אובונטו

הערה
הגדרת לקוח ב-Linux גוזלת כרגע זמן רב, מכיוון ש... דורש בניית תוכניות נפרדות מהמקור. ננסה להבטיח שכל השינויים ייכללו במאגרים הרשמיים בעתיד הקרוב.

כדי להבטיח חיבור ברמת IPSec לשרת, נעשה שימוש בחבילת strongswan ובדמון xl2tp. כדי לפשט את החיבור לרשת באמצעות כרטיסים חכמים, נשתמש בחבילת l2tp-ipsec-vpn, המספקת מעטפת גרפית להגדרת חיבור פשוטה.

בואו נתחיל להרכיב את האלמנטים שלב אחר שלב, אבל לפני כן נתקין את כל החבילות הדרושות כדי שה-VPN יפעל ישירות:

sudo apt-get install xl2tpd strongswan libp11-3

התקנת תוכנה לעבודה עם טוקנים

התקן את ספריית librtpkcs11ecp.so העדכנית מ- сайта, גם ספריות לעבודה עם כרטיסים חכמים:

sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-openssl

חבר את Rutoken ובדוק שהוא מזוהה על ידי המערכת:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so  -O -l

מתקין ppp מתוקן

sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

התקנת לקוח L2tpIpsecVpn

כרגע, הלקוח צריך להיות גם קומפילציה מקוד מקור. זה נעשה באמצעות רצף הפקודות הבא:

sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make install

הגדרת לקוח L2tpIpsecVpn

הפעל את הלקוח המותקן:

לאחר ההשקה, יישומון L2tpIpsecVPN אמור להיפתח. לחץ לחיצה ימנית עליו והגדר את החיבור:

כדי לעבוד עם אסימונים, קודם כל, אנו מציינים את הנתיב למנוע opensc של מנוע OpenSSL וספריית PKCS#11. כדי לעשות זאת, פתח את הכרטיסייה "העדפות" כדי להגדיר פרמטרים של openssl:

.

בואו נסגור את חלון הגדרות OpenSSL ונעבור להגדרת הרשת. בואו נוסיף רשת חדשה על ידי לחיצה על כפתור הוסף... בחלונית ההגדרות והזן את שם הרשת:

לאחר מכן, רשת זו תהפוך לזמינה בחלונית ההגדרות. לחץ פעמיים באמצעות לחצן העכבר הימני על הרשת החדשה כדי להגדיר אותה. בכרטיסייה הראשונה עליך לבצע הגדרות IPsec. בואו נגדיר את כתובת השרת ואת המפתח הציבורי:

לאחר מכן, עבור ללשונית הגדרות PPP וסמן שם את שם המשתמש תחתיו אנו רוצים לגשת לרשת:

לאחר מכן, פתח את הכרטיסייה מאפיינים וציין את הנתיב למפתח, אישור הלקוח ו-CA:

בואו נסגור את הכרטיסייה הזו ונבצע את ההגדרות הסופיות; לשם כך, פתח את הכרטיסייה "הגדרות IP" וסמן את התיבה לצד האפשרות "קבל כתובת שרת DNS באופן אוטומטי":

אפשרות זו תאפשר ללקוח לקבל כתובת IP אישית בתוך הרשת מהשרת.

לאחר כל ההגדרות, סגור את כל הכרטיסיות והפעל מחדש את הלקוח:

חיבור רשת

לאחר ההגדרות, תוכל להתחבר לרשת. לשם כך, פתחו את לשונית היישומון ובחרו את הרשת שאליה נרצה להתחבר:

במהלך תהליך יצירת החיבור, הלקוח יבקש מאיתנו להזין את קוד ה-PIN של Rutoken:

אם מופיעה הודעה בשורת המצב שהחיבור נוצר בהצלחה, זה אומר שההגדרה הצליחה:

אחרת, כדאי להבין מדוע החיבור לא נוצר. לשם כך, עליך להסתכל ביומן התוכנית על ידי בחירת הפקודה "מידע חיבור" ביישומון:

הגדרת לקוח Windows

הגדרת לקוח ב-Windows היא הרבה יותר קלה מאשר בלינוקס, כי... כל התוכנות הנדרשות כבר מובנות במערכת.

הגדרת מערכת

נתקין את כל מנהלי ההתקן הדרושים לעבודה עם Rutokens על ידי הורדתם מ שֶׁל. אֲתַר.

ייבוא ​​אישור בסיס לאימות

הורד את אישור שורש השרת והתקן אותו במערכת. כדי לעשות זאת, פתח אותו ובחלון שנפתח בחר באפשרות "התקן אישור":

בחלון שנפתח בחר התקנת אישור עבור המשתמש המקומי. אם אתה רוצה שהאישור יהיה זמין לכל המשתמשים במחשב, עליך לבחור להתקין את האישור במחשב המקומי:

בואו נתקין את האישור במאגר אישורי השורש המהימן של ה-CA:

לאחר כל הפעולות הללו, אנו מסכימים עם כל הנקודות הנוספות. המערכת מוגדרת כעת.

הגדרת חיבור VPN

כדי להגדיר חיבור VPN, עבור ללוח הבקרה ובחר באפשרות ליצור חיבור חדש.

בחלון המוקפץ, בחר באפשרות ליצור חיבור לחיבור למקום העבודה שלך:

בחלון הבא, בחר חיבור VPN:

והזן את פרטי חיבור ה-VPN, וציין גם את האפשרות להשתמש בכרטיס חכם:

ההגדרה עדיין לא הושלמה. כל שנותר הוא לציין את המפתח המשותף עבור פרוטוקול IPsec; לשם כך, עבור ללשונית "הגדרות חיבור רשת" ולאחר מכן עבור ללשונית "מאפיינים עבור חיבור זה":

בחלון שנפתח, עבור ללשונית "אבטחה", ציין "רשת L2TP/IPsec" כסוג הרשת ובחר "הגדרות מתקדמות":

בחלון שנפתח, ציין את מפתח ה-IPsec המשותף:

Подключение

לאחר השלמת ההגדרה, תוכל לנסות להתחבר לרשת:

במהלך תהליך החיבור, נידרש להזין את קוד ה-PIN האסימון:

הקמנו רשת VPN מאובטחת וידאנו שזה לא יהיה קשה.

תודות

אני רוצה להודות שוב לעמיתינו וסילי שוקוב ואלכסנדר סמירנוב על העבודה שהם עשו יחד כדי לפשט את יצירת חיבורי VPN עבור לקוחות לינוקס.

מקור: www.habr.com