ארגון עבודה מרחוק של ארגון SMB ב-OpenVPN

הצהרת הבעיה

המאמר מתאר את ארגון הגישה מרחוק לעובדים במוצרי קוד פתוח וניתן להשתמש בו הן לבניית מערכת אוטונומית לחלוטין, והן יועיל להרחבה כאשר יש מחסור ברישיונות במערכת המסחרית הקיימת או הביצועים שלה אינם מספקים.

מטרת המאמר היא ליישם מערכת שלמה למתן גישה מרחוק לארגון, שהיא מעט יותר מ"התקנת OpenVPN תוך 10 דקות."

כתוצאה מכך, נקבל מערכת שבה תעודות ו(אופציונלי) ה-Active Directory של הארגון ישמשו לאימות משתמשים. זֶה. נקבל מערכת עם שני גורמי אימות - מה שיש לי (תעודה) ומה שאני יודע (סיסמה).

סימן לכך שמשתמש רשאי להתחבר הוא החברות שלו בקבוצת myVPNUsr. רשות האישורים תשמש במצב לא מקוון.

עלות הטמעת הפתרון היא משאבי חומרה קטנים בלבד ושעת עבודה של מנהל המערכת.

נשתמש במכונה וירטואלית עם OpenVPN ו-Easy-RSA גרסה 3 ב-CetntOS 7, אשר מוקצים 100 vCPUs ו-4 GiB RAM לכל 4 חיבורים.

בדוגמה, הרשת של הארגון שלנו היא 172.16.0.0/16, שבה שרת ה-VPN עם הכתובת 172.16.19.123 נמצא בקטע 172.16.19.0/24, שרתי DNS 172.16.16.16 ו- 172.16.17.17 ו-subnet 172.16.20.0. .23/XNUMX מוקצה עבור לקוחות VPN.

כדי להתחבר מבחוץ, נעשה שימוש בחיבור דרך יציאה 1194/udp, ונוצר A-record gw.abc.ru ב-DNS עבור השרת שלנו.

בהחלט לא מומלץ להשבית את SELinux! OpenVPN פועל מבלי להשבית את מדיניות האבטחה.

תוכן

1. התקנת מערכת הפעלה ותוכנות אפליקציה
2. הגדרת קריפטוגרפיה
3. הגדרת OpenVPN
4. אימות AD
5. הפעלה ואבחון
6. הנפקת אישור וביטול
7. הגדרת רשת
8. מה הלאה

התקנת מערכת הפעלה ותוכנות אפליקציה

אנו משתמשים בהפצה CentOS 7.8.2003. אנחנו צריכים להתקין את מערכת ההפעלה בתצורה מינימלית. זה נוח לעשות זאת באמצעות kickstart, שיבוט תמונת מערכת הפעלה שהותקנה בעבר ואמצעים אחרים.

לאחר ההתקנה, הקצאת כתובת לממשק הרשת (על פי תנאי המשימה 172.16.19.123), אנו מעדכנים את מערכת ההפעלה:

$ sudo yum update -y && reboot

אנחנו גם צריכים לוודא שסנכרון זמן מבוצע במחשב שלנו.
כדי להתקין תוכנת יישום, אתה צריך את חבילות openvpn, openvpn-auth-ldap, easy-rsa ו-vim כעורך הראשי (תצטרך את מאגר ה-EPEL).

$ sudo yum install epel-release
$ sudo yum install openvpn openvpn-auth-ldap easy-rsa vim

כדאי להתקין סוכן אורח עבור מחשב וירטואלי:

$ sudo yum install open-vm-tools

עבור מארחי VMware ESXi, או עבור oVirt

$ sudo yum install ovirt-guest-agent

הגדרת קריפטוגרפיה

עבור אל ספריית easy-rsa:

$ cd /usr/share/easy-rsa/3/

צור קובץ משתנה:

$ sudo vim vars

התוכן הבא:

export KEY_COUNTRY="RU"
export KEY_PROVINCE="MyRegion"
export KEY_CITY="MyCity"
export KEY_ORG="ABC LLC"
export KEY_EMAIL="[email protected]"
export KEY_CN="allUsers"
export KEY_OU="allUsers"
export KEY_NAME="gw.abc.ru"
export KEY_ALTNAMES="abc-openvpn-server"
export EASYRSA_CERT_EXPIRE=3652

הפרמטרים של הארגון המותנה ABC LLC מתוארים כאן; אתה יכול לתקן אותם לאלה האמיתיים או להשאיר אותם מהדוגמה. הדבר החשוב ביותר בפרמטרים הוא השורה האחרונה, הקובעת את תקופת התוקף של התעודה בימים. הדוגמה משתמשת בערך 10 שנים (365*10+2 שנים מעוברות). יהיה צורך להתאים ערך זה לפני הנפקת אישורי משתמש.

לאחר מכן, אנו מגדירים רשות אישורים אוטונומית.

ההגדרה כוללת ייצוא משתנים, אתחול ה-CA, הנפקת מפתח השורש והאישור של CA, מפתח Diffie-Hellman, מפתח TLS ומפתח ותעודת שרת. יש להגן בקפידה על מפתח ה-CA ולשמור בסוד! ניתן להשאיר את כל פרמטרי השאילתה כברירת מחדל.

cd /usr/share/easy-rsa/3/
. ./vars
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-dh
./easyrsa gen-req myvpngw nopass
./easyrsa sign-req server myvpngw
./easyrsa gen-crl
openvpn --genkey --secret pki/ta.key

זה משלים את החלק העיקרי של הגדרת מנגנון ההצפנה.

הגדרת OpenVPN

עבור אל ספריית OpenVPN, צור ספריות שירות והוסף קישור ל-easy-rsa:

cd /etc/openvpn/
mkdir /var/log/openvpn/ /etc/openvpn/ccd /usr/share/easy-rsa/3/client
ln -s /usr/share/easy-rsa/3/pki/ /etc/openvpn/

צור את קובץ התצורה הראשי של OpenVPN:

$ sudo vim server.conf

התוכן הבא

port 1194
proto udp
dev tun
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/myvpngw.crt
key /etc/openvpn/pki/private/myvpngw.key
crl-verify /etc/openvpn/pki/crl.pem
dh /etc/openvpn/pki/dh.pem
server 172.16.20.0 255.255.254.0
ifconfig-pool-persist ipp.txt
push "route 172.16.0.0 255.255.255.0"
push "route 172.17.0.0 255.255.255.0"
client-config-dir ccd
push "dhcp-option DNS 172.16.16.16"
push "dhcp-option DNS 172.16.17.17"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
username-as-common-name
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/ldap.conf

כמה הערות על הפרמטרים:

• אם צוין שם אחר בעת הוצאת התעודה, ציין זאת;
• ציין את מאגר הכתובות שיתאים למשימות שלך*;
• יכולים להיות נתיב אחד או יותר ושרתי DNS;
• יש צורך ב-2 השורות האחרונות כדי ליישם אימות ב-AD**.

*טווח הכתובות שנבחר בדוגמה יאפשר לעד 127 לקוחות להתחבר בו זמנית, מכיוון רשת /23 נבחרה, ו-OpenVPN יוצר רשת משנה עבור כל לקוח באמצעות מסכת /30.
אם יש צורך במיוחד, ניתן לשנות את היציאה והפרוטוקול, עם זאת, יש לזכור ששינוי מספר היציאה יחייב הגדרת SELinux, ושימוש בפרוטוקול tcp יגדיל את התקורה, מכיוון בקרת משלוח מנות TCP כבר מבוצעת ברמת המנות המובלעות במנהרה.

**אם אין צורך באימות ב-AD, הגיבו, דלג על הסעיף הבא ובתבנית הסר את קו Auth-User Pass.

אימות AD

כדי לתמוך בגורם השני, נשתמש באימות חשבון ב-AD.

אנו זקוקים לחשבון בדומיין עם זכויות של משתמש רגיל וקבוצה, שהחברות בו תקבע את יכולת החיבור.

צור קובץ תצורה:

/etc/openvpn/ldap.conf

התוכן הבא

<LDAP>
        URL             "ldap://ldap.abc.ru"
        BindDN          "CN=bindUsr,CN=Users,DC=abc,DC=ru"
        Password        b1ndP@SS
        Timeout         15
        TLSEnable       no
        FollowReferrals yes
</LDAP>
<Authorization>
        BaseDN          "OU=allUsr,DC=abc,DC=ru"
        SearchFilter    "(sAMAccountName=%u)"
        RequireGroup    true
        <Group>
                BaseDN          "OU=myGrp,DC=abc,DC=ru"
                SearchFilter    "(cn=myVPNUsr)"
                MemberAttribute "member"
        </Group>
</Authorization>

מספר קטלוגי:

• כתובת URL "ldap://ldap.abc.ru" - כתובת בקר תחום;
• BindDN "CN=bindUsr,CN=Users,DC=abc,DC=ru" - שם קנוני לקישור ל-LDAP (UZ - bindUsr במיכל abc.ru/Users);
• סיסמה b1ndP@SS — סיסמת משתמש לכריכה;
• BaseDN "OU=allUsr,DC=abc,DC=ru" - הנתיב שממנו מתחילים לחפש את המשתמש;
• BaseDN "OU=myGrp,DC=abc,DC=ru" - מיכל של הקבוצה המאפשרת (קבץ myVPNUsr במיכל abc.rumyGrp);
• SearchFilter "(cn=myVPNUsr)" הוא השם של הקבוצה המאפשרת.

הפעלה ואבחון

כעת נוכל לנסות להפעיל ולהפעיל את השרת שלנו:

$ sudo systemctl enable [email protected]
$ sudo systemctl start [email protected]

בדיקת הפעלה:

systemctl status [email protected]
journalctl -xe
cat /var/log/messages
cat /var/log/openvpn/*log

הנפקת אישור וביטול

כי בנוסף לאישורים עצמם, אתה צריך מפתחות והגדרות אחרות; זה מאוד נוח לעטוף את כל זה בקובץ פרופיל אחד. לאחר מכן הקובץ הזה מועבר למשתמש והפרופיל מיובא ללקוח OpenVPN. לשם כך ניצור תבנית הגדרות וסקריפט שיוצר את הפרופיל.

עליך להוסיף לפרופיל את התוכן של אישור השורש (ca.crt) ומפתח TLS (ta.key).

לפני הנפקת אישורי משתמש אל תשכח להגדיר את תקופת התוקף הנדרשת לאישורים בקובץ הפרמטרים. אתה לא צריך לעשות את זה ארוך מדי; אני ממליץ להגביל את עצמך לכל היותר 180 ימים.

vim /usr/share/easy-rsa/3/vars

...
export EASYRSA_CERT_EXPIRE=180

vim /usr/share/easy-rsa/3/client/template.ovpn

client
dev tun
proto udp
remote gw.abc.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
auth-user-pass

<ca>
-----BEGIN CERTIFICATE-----
PUT YOUR CA CERT (ca.crt) HERE
-----END CERTIFICATE-----
</ca>

key-direction 1
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
PUT YOUR TA KEY (ta.key) HERE
-----END OpenVPN Static key V1-----
</tls-auth>

הערות:

• קווים שים את שלך... לשנות לתוכן של תעודות;
• בהנחיה מרחוק, ציין את השם/הכתובת של השער שלך;
• ההנחיה Auth-user-pass משמשת לאימות חיצוני נוסף.

בספריית הבית (או במקום נוח אחר) אנו יוצרים סקריפט לבקשת אישור ויצירת פרופיל:

vim ~/make.profile.sh

#!/bin/bash

if [ -z "$1" ] ; then
 echo Missing mandatory client name. Usage: $0 vpn-username
 exit 1
fi

#Set variables
basepath=/usr/share/easy-rsa/3
clntpath=$basepath/client
privpath=$basepath/pki/private
certpath=$basepath/pki/issued
profile=$clntpath/$1.ovpn

#Get current year and lowercase client name
year=`date +%F`
client=${1,,}
echo Processing $year year cert for user/device $client

cd $basepath

if [  -f client/$client* ]; then
    echo "*** ERROR! ***"
    echo "Certificate $client already issued!"
    echo "*** ERROR! ***"
    exit 1
fi

. ./vars
./easyrsa --batch --req-cn=$client gen-req $client nopass
./easyrsa --batch sign-req client $client

#Make profile
cp $clntpath/template.ovpn $profile

echo "<key>" >> $profile
cat $privpath/$1.key >> $profile
echo "</key>" >> $profile

echo -e "n" >> $profile
openssl x509 -in $certpath/$1.crt -out $basepath/$1.crt

echo "<cert>" >> $profile
cat $basepath/$1.crt >> $profile
echo "</cert>" >> $profile
echo -e "n" >> $profile

#remove tmp file
rm -f $basepath/$1.crt

echo Complete. See $profile file.

cd ~

הפיכת הקובץ לאפשרי הפעלה:

chmod a+x ~/make.profile.sh

ואנחנו יכולים להנפיק את התעודה הראשונה שלנו.

~/make.profile.sh my-first-user

כזכור

במקרה של פגיעה בתעודה (אובדן, גניבה), יש צורך לבטל את התעודה הזו:

cd /usr/share/easy-rsa/3/
./easyrsa revoke my-first-user
./easyrsa gen-crl

הצג תעודות שהונפקו ובשללו

כדי להציג אישורים שהונפקו ובטלו, פשוט הצג את קובץ האינדקס:

cd /usr/share/easy-rsa/3/
cat pki/index.txt

הסברים:

• השורה הראשונה היא תעודת השרת;
• הדמות הראשונה
  • V (תקף) - תקף;
  • ר (מבוטל) - נזכר.

הגדרת רשת

השלבים האחרונים הם להגדיר את רשת השידור - ניתוב וחומות אש.

התרת חיבורים בחומת האש המקומית:

$ sudo firewall-cmd --add-service=openvpn
$ sudo firewall-cmd --add-service=openvpn --permanent

לאחר מכן, הפעל ניתוב תעבורת IP:

$ sudo sysctl net.ipv4.ip_forward=1
$ sudo echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/50-sysctl.conf

בסביבה ארגונית, סביר להניח שיש רשת משנה ועלינו לומר לנתב/ים כיצד לשלוח מנות המיועדות ללקוחות ה-VPN שלנו. בשורת הפקודה אנו מבצעים את הפקודה באופן (בהתאם לציוד המשמש):

# ip route 172.16.20.0 255.255.254.0 172.16.19.123

ושמור את התצורה.

בנוסף, בממשק הנתב הגבול שבו מוגשת הכתובת החיצונית gw.abc.ru, יש צורך לאפשר מעבר של מנות udp/1194.

במקרה שלארגון יש כללי אבטחה נוקשים, יש להגדיר חומת אש גם בשרת ה-VPN שלנו. לדעתי, הגמישות הגדולה ביותר ניתנת בהקמת רשתות iptables FORWARD, אם כי ההגדרה שלהם פחות נוחה. עוד קצת על הגדרתם. לשם כך, הכי נוח להשתמש ב"כללים ישירים" - כללים ישירים, המאוחסנים בקובץ /etc/firewalld/direct.xml. ניתן למצוא את התצורה הנוכחית של הכללים כדלקמן:

$ sudo firewall-cmd --direct --get-all-rule

לפני שינוי קובץ, צור עותק גיבוי שלו:

cp /etc/firewalld/direct.xml /etc/firewalld/direct.xml.`date +%F.%T`.bak

התוכן המשוער של הקובץ הוא:

<?xml version="1.0" encoding="utf-8"?>
<direct>
 <!--Common Remote Services-->
  <!--DNS-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o ens192 -p udp --dport 53 -j ACCEPT</rule>
  <!--web-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.200 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.201 --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--Some Other Systems-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p udp -d 172.16.19.100 --dport 7000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--just logging-->
    <rule priority="1" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -j LOG --log-prefix 'forward_fw '</rule>
</direct>

הסברים

אלה הם בעצם כללי iptables רגילים, ארוזים אחרת לאחר הופעת חומת האש.

ממשק היעד עם הגדרות ברירת המחדל הוא tun0, והממשק החיצוני של המנהרה עשוי להיות שונה, למשל, ens192, בהתאם לפלטפורמה שבה נעשה שימוש.

השורה האחרונה מיועדת לרישום מנות שנפלו. כדי שהרישום יעבוד, עליך לשנות את רמת ניפוי הבאגים בתצורת חומת האש:

vim /etc/sysconfig/firewalld
FIREWALLD_ARGS=--debug=2

החלת הגדרות היא הפקודה הרגילה של חומת האש כדי לקרוא מחדש את ההגדרות:

$ sudo firewall-cmd --reload

אתה יכול לראות מנות שנשמטו כך:

grep forward_fw /var/log/messages

מה הלאה

זה משלים את ההגדרה!

כל מה שנותר הוא להתקין את תוכנת הלקוח בצד הלקוח, לייבא את הפרופיל ולהתחבר. עבור מערכות הפעלה Windows, ערכת ההפצה ממוקמת ב- אתר למפתחים.

לבסוף, אנו מחברים את השרת החדש שלנו למערכות הניטור והארכיון, ולא שוכחים להתקין עדכונים באופן קבוע.

חיבור יציב!

מקור: www.habr.com