問題

つい最近まで、多くの人が在宅勤務がどのようなものかを知りませんでした。 パンデミックは世界の状況を劇的に変え、誰もが現在の状況、つまり家から出ることが単に安全でなくなったという事実に適応し始めています。 そして、多くは従業員の在宅勤務を迅速に準備する必要がありました。

ただし、リモートワークのためのソリューションを選択するための適切なアプローチが欠如していると、取り返しのつかない損失につながる可能性があります。 ユーザーのパスワードが盗まれる可能性があり、攻撃者が企業のネットワークや IT リソースに制御不能に接続できるようになります。

そのため、信頼性の高い企業 VPN ネットワークを構築する必要性が高まっています。 についてお話します 信頼性のある, 安全な и シンプル VPN ネットワークを使用する場合。

これは IPsec/L2TP スキームに従って動作し、トークンに保存された取得不可能なキーと証明書を使用してクライアントを認証し、ネットワーク上でデータを暗号化された形式で送信します。

CentOS 7 を搭載したサーバー (アドレス: centos.vpn.server.ad) と Ubuntu 20.04 を搭載したクライアント、および Windows 10 を搭載したクライアントが構成用のデモンストレーション スタンドとして使用されました。

システムの説明

VPN は、IPSec + L2TP + PPP スキームに従って動作します。 プロトコル ポイントツーポイントプロトコル (PPP) OSI モデルのデータ リンク層で動作し、ユーザー認証と送信データの暗号化を提供します。 そのデータは L2TP プロトコルのデータにカプセル化されており、実際には VPN ネットワークでの接続の作成が保証されますが、認証と暗号化は提供されません。

L2TP データは IPSec でカプセル化され、認証と暗号化も提供されますが、PPP とは異なり、認証と暗号化はユーザー レベルではなくデバイス レベルで行われます。

この機能を使用すると、特定のデバイスからのみユーザーを認証できます。 IPSecプロトコルをそのまま利用し、どのデバイスからでもユーザー認証を可能にします。

スマート カードを使用したユーザー認証は、EAP-TLS プロトコルを使用して PPP プロトコル レベルで実行されます。

この回路の動作に関する詳細情報は、次の場所にあります。 この記事.

この方式が優れた VPN ネットワークの XNUMX つの要件をすべて満たしているのはなぜですか?

1. この計画の信頼性は時間の経過とともにテストされてきました。 2000 年以来、VPN ネットワークの展開に使用されてきました。
2. 安全なユーザー認証は PPP プロトコルによって提供されます。 Paul Mackerras によって開発された PPP プロトコルの標準実装 十分なレベルのセキュリティが提供されないため、 認証には、最良の場合、ログインとパスワードを使用した認証が使用されます。 ログイン パスワードが覗き見されたり、推測されたり、盗まれたりする可能性があることは誰もが知っています。 しかし、開発者は長い間、 ヤン・ジュスト・カイザー в その実装 このプロトコルではこの問題が修正され、認証に EAP-TLS などの非対称暗号化に基づくプロトコルを使用する機能が追加されました。 さらに、認証にスマート カードを使用する機能を追加し、システムの安全性を高めました。
   現在、これら XNUMX つのプロジェクトを統合するための活発な交渉が進行中であり、いずれにしても遅かれ早かれこれが実現することは確実です。 たとえば、PPP のパッチ適用済みバージョンは、認証に安全なプロトコルを使用して長い間 Fedora リポジトリに存在しています。
3. 最近まで、このネットワークは Windows ユーザーのみが使用できましたが、モスクワ州立大学の同僚である Vasily Shokov と Alexander Smirnov が発見しました。 Linux 用の古い L2TP クライアント プロジェクト そしてそれを修正しました。 私たちは協力して、クライアントの作業における多くのバグや欠点を修正し、ソースから構築する場合でも、システムのインストールと構成を簡素化しました。 その中で最も重要なものは次のとおりです。
   • openssl および qt の新しいバージョンのインターフェイスと古いクライアントの互換性の問題を修正しました。
   • pppd が一時ファイルを介してトークン PIN を渡すことから削除されました。
   • グラフィカル インターフェイスを介したパスワード要求プログラムの誤った起動を修正しました。 これは、xl2tpd サービス用の正しい環境をインストールすることで行われました。
   • L2tpIpsecVpn デーモンのビルドはクライアント自体のビルドと一緒に実行されるようになり、ビルドと構成のプロセスが簡素化されます。
   • 開発を容易にするために、ビルドの正確性をテストするために Azure Pipelines システムが接続されています。
   • 強制ダウングレード機能を追加しました セキュリティレベル openssl のコンテキストで。 これは、標準セキュリティ レベルが 2 に設定されている新しいオペレーティング システムと、このレベルのセキュリティ要件を満たさない証明書を使用する VPN ネットワークを正しくサポートする場合に役立ちます。 このオプションは、既存の古い VPN ネットワークを操作する場合に役立ちます。

修正されたバージョンは次の場所にあります。 このリポジトリ.

このクライアントは、認証にスマート カードの使用をサポートしており、Linux でこのスキームをセットアップする際のすべての困難や困難を可能な限り隠し、クライアントのセットアップを可能な限りシンプルかつ迅速にします。

もちろん、PPP とクライアント GUI の間の接続を便利にするために、各プロジェクトをさらに編集することなしには不可能でしたが、それでも、プロジェクトは最小限に抑えられ、最小限に抑えられました。

• 修理済み トークン PIN コードを PPP から openssl コンテキストに誤って転送するエラー
• 修理済み 設定のロードと openssl コンテキストの初期化の順序でエラーが発生しました。 このエラーにより、スマート カードを操作するための openssl エンジンに関する情報を除いて、ローカルの /etc/ppp/openssl.cnf 設定ファイルから何もロードできなくなりました。これは、たとえば、エンジンに関する情報に加えて、何か別のものを設定したかったのです。 たとえば、接続を確立するときにセキュリティ レベルを固定します。

これでセットアップを開始できます。

サーバーのチューニング

必要なパッケージをすべてインストールしましょう。

ストロングスワン (IPsec) のインストール

まず、ipsec が動作するようにファイアウォールを設定しましょう

sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reload

それではインストールを開始しましょう

sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswan

インストール後、strongswan (IPSec 実装の XNUMX つ) を構成する必要があります。 これを行うには、ファイルを編集します /etc/strongswan/ipsec.conf :

config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey 

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=%any
    leftprotoport=udp/1701
    right=%any
    rightprotoport=udp/%any
    ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
    esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024

共通のログインパスワードも設定させていただきます。 共有パスワードは、認証のためにすべてのネットワーク参加者に知られている必要があります。 この方法は明らかに信頼性がありません。 このパスワードは、ネットワークへのアクセスを許可したくない個人に簡単に知られる可能性があります。
ただし、この事実でもネットワークのセキュリティには影響しません。 基本的なデータ暗号化とユーザー認証は PPP プロトコルによって実行されます。 しかし公平を期すために、strongswan は秘密キーを使用するなど、より安全な認証技術をサポートしていることは注目に値します。 Strongswan にはスマート カードを使用した認証を提供する機能もありますが、これまでのところサポートされているデバイスの範囲は限られているため、Rutoken トークンとスマート カードを使用した認証は依然として困難です。 ファイル経由で一般的なパスワードを設定しましょう /etc/strongswan/ipsec.secrets:

# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"

ストロングスワンを再起動しましょう:

sudo systemctl enable strongswan
sudo systemctl restart strongswan

xl2tpのインストール

sudo dnf install xl2tpd

ファイル経由で設定しましょう /etc/xl2tpd/xl2tpd.conf:

[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes

[lns default]
exclusive = no
; определяет статический адрес сервера в виртуальной сети
local ip = 100.10.10.1
; задает диапазон виртуальных адресов
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; данную опцию можно отключить после успешной настройки сети
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; указывает адрес сервера в сети
name = centos.vpn.server.ad

サービスを再起動しましょう。

sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpd

PPP セットアップ

pppd の最新バージョンをインストールすることをお勧めします。 これを行うには、次の一連のコマンドを実行します。

sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

ファイルに書き込む /etc/ppp/options.xl2tpd 以下のとおりです (値が存在する場合は削除できます)。

ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1

noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000

ルート証明書とサーバー証明書を発行します。

#директория с сертификатами пользователей, УЦ и сервера
sudo mkdir /etc/ppp/certs
#директория с закрытыми ключами сервера и УЦ
sudo mkdir /etc/ppp/keys
#запрещаем любой доступ к этой дирректории кроме администатора
sudo chmod 0600 /etc/ppp/keys/

#генерируем ключ и выписываем сертификат УЦ
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"

#генерируем ключ и выписываем сертификат сервера
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserial

これで、基本的なサーバーのセットアップが完了しました。 サーバー構成の残りの部分には、新しいクライアントの追加が含まれます。

新しいクライアントの追加

新しいクライアントをネットワークに追加するには、その証明書をこのクライアントの信頼できる証明書のリストに追加する必要があります。

ユーザーが VPN ネットワークのメンバーになりたい場合は、このクライアント用のキー ペアと証明書アプリケーションを作成します。 ユーザーが信頼されている場合、このアプリケーションに署名することができ、結果の証明書を証明書ディレクトリに書き込むことができます。

sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserial

/etc/ppp/eaptls-server ファイルにクライアント名とその証明書を一致させる行を追加しましょう。

"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *

注意
混乱を避けるために、共通名、証明書ファイル名、およびユーザー名は一意であることをお勧めします。

追加するユーザーの名前が他の認証ファイルのどこにも含まれていないことを確認することも重要です。そうでない場合、ユーザーの認証方法に問題が発生します。

同じ証明書をユーザーに送り返す必要があります。

キーペアと証明書の生成

認証を成功させるには、クライアントは次のことを行う必要があります。

1. キーペアを生成します。
2. CA ルート証明書を持っている。
3. ルート CA によって署名されたキー ペアの証明書を持っていること。

Linux 上のクライアントの場合

まず、トークンにキー ペアを生成し、証明書のアプリケーションを作成しましょう。

#идентификатор ключа (параметр --id) можно заменить на любой другой.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"

表示された client.req アプリケーションを CA に送信します。 キー ペアの証明書を受け取ったら、それをキーと同じ ID を持つトークンに書き込みます。

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id  45

Windows および Linux クライアントの場合 (より汎用的な方法)

この方法はより普遍的です。 を使用すると、Windows および Linux ユーザーに正常に認識されるキーと証明書を生成できますが、キーの生成手順を実行するには Windows マシンが必要です。

リクエストを生成して証明書をインポートする前に、VPN ネットワークのルート証明書を信頼できる証明書のリストに追加する必要があります。 これを行うには、それを開き、開いたウィンドウで「証明書のインストール」オプションを選択します。

開いたウィンドウで、ローカル ユーザーの証明書のインストールを選択します。

CA の信頼されたルート証明書ストアに証明書をインストールしましょう。

これらすべての行動を経て、私たちはその他すべての点に同意します。 これでシステムが設定されました。

次の内容を含むファイル cert.tmp を作成しましょう。

[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE" 
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSE

この後、キーペアを生成し、証明書のアプリケーションを作成します。 これを行うには、powershell を開いて次のコマンドを入力します。

certreq.exe -new -pin $PIN .cert.tmp .client.req

作成したアプリケーション client.req を CA に送信し、client.pem 証明書が受信されるまで待ちます。 次のコマンドを使用して、トークンに書き込み、Windows 証明書ストアに追加できます。

certreq.exe -accept .client.pem

mmc プログラムのグラフィカル インターフェイスを使用して同様のアクションを再現できることは注目に値しますが、この方法は時間がかかり、プログラム可能性が低くなります。

Ubuntuクライアントのセットアップ

注意
現在、Linux 上でクライアントをセットアップするのは非常に時間がかかります。 ソースから別のプログラムを構築する必要があります。 近い将来、すべての変更が公式リポジトリに確実に含まれるよう努める予定です。

サーバーへの IPSec レベルでの接続を確保するには、strongswan パッケージと xl2tp デーモンが使用されます。 スマート カードを使用したネットワークへの接続を簡素化するために、l2tp-ipsec-vpn パッケージを使用します。このパッケージは、接続セットアップを簡略化するためのグラフィカル シェルを提供します。

要素を段階的に組み立て始めましょう。その前に、VPN が直接動作するために必要なパッケージをすべてインストールします。

sudo apt-get install xl2tpd strongswan libp11-3

トークンを操作するためのソフトウェアのインストール

最新の librtpkcs11ecp.so ライブラリを次からインストールします。 сайта、スマート カードを操作するためのライブラリも含まれます。

sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-openssl

Rutoken を接続し、システムによって認識されていることを確認します。

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so  -O -l

パッチ適用済み ppp のインストール

sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

L2tpIpsecVpn クライアントのインストール

現時点では、クライアントもソース コードからコンパイルする必要があります。 これは、次の一連のコマンドを使用して実行されます。

sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make install

L2tpIpsecVpn クライアントのセットアップ

インストールされたクライアントを起動します。

起動後、L2tpIpsecVPN アプレットが開きます。 それを右クリックして接続を構成します。

トークンを操作するには、まず、OpenSSL エンジンの opensc エンジンと PKCS#11 ライブラリへのパスを指定します。 これを行うには、[設定] タブを開いて openssl パラメータを設定します。

.

OpenSSL 設定ウィンドウを閉じて、ネットワークの設定に進みましょう。 設定パネルの [追加...] ボタンをクリックし、ネットワーク名を入力して、新しいネットワークを追加しましょう。

この後、このネットワークは設定パネルで利用できるようになります。 新しいネットワークを右ダブルクリックして構成します。 最初のタブでは、IPsec 設定を行う必要があります。 サーバーアドレスと公開キーを設定しましょう。

この後、[PPP 設定] タブに移動し、ネットワークにアクセスする際のユーザー名を指定します。

この後、「プロパティ」タブを開き、キー、クライアント証明書、および CA へのパスを指定します。

このタブを閉じて、最終設定を実行しましょう。これを行うには、「IP 設定」タブを開いて、「DNS サーバー アドレスを自動的に取得する」オプションの横のボックスをチェックします。

このオプションを使用すると、クライアントはネットワーク内の個人 IP アドレスをサーバーから受け取ることができます。

すべての設定が完了したら、すべてのタブを閉じてクライアントを再起動します。

ネットワークに接続する

設定後、ネットワークに接続できるようになります。 これを行うには、アプレット タブを開き、接続するネットワークを選択します。

接続確立プロセス中に、クライアントは Rutoken PIN コードの入力を求めます。

接続が正常に確立されたことを示す通知がステータス バーに表示された場合は、セットアップが成功したことを意味します。

それ以外の場合は、接続が確立されなかった理由を理解する価値があります。 これを行うには、アプレットで「接続情報」コマンドを選択してプログラム ログを確認する必要があります。

Windows クライアントのセットアップ

Windows でのクライアントのセットアップは、Linux よりもはるかに簡単です。 必要なソフトウェアはすべてシステムに組み込まれています。

システムセットアップ

Rutoken を使用するために必要なすべてのドライバーを以下からダウンロードしてインストールします。 の。 サイト.

認証用のルート証明書のインポート

サーバーのルート証明書をダウンロードし、システムにインストールします。 これを行うには、それを開き、開いたウィンドウで「証明書のインストール」オプションを選択します。

開いたウィンドウで、ローカル ユーザーの証明書のインストールを選択します。 コンピューター上のすべてのユーザーが証明書を利用できるようにする場合は、ローカル コンピューターに証明書をインストールすることを選択する必要があります。

CA の信頼されたルート証明書ストアに証明書をインストールしましょう。

これらすべての行動を経て、私たちはその他すべての点に同意します。 これでシステムが設定されました。

VPN接続のセットアップ

VPN 接続をセットアップするには、コントロール パネルに移動し、新しい接続を作成するオプションを選択します。

ポップアップ ウィンドウで、職場に接続するための接続を作成するオプションを選択します。

次のウィンドウで、VPN 接続を選択します。

VPN 接続の詳細を入力し、スマート カードを使用するオプションも指定します。

セットアップはまだ完了していません。 残っているのは、IPsec プロトコルの共有キーを指定することだけです。これを行うには、[ネットワーク接続設定] タブに移動し、次に [この接続のプロパティ] タブに移動します。

開いたウィンドウで「セキュリティ」タブに移動し、ネットワークの種類として「L2TP/IPsec ネットワーク」を指定し、「詳細設定」を選択します。

開いたウィンドウで、共有 IPsec キーを指定します。

Подключение

セットアップが完了したら、ネットワークへの接続を試行できます。

接続プロセス中に、トークン PIN コードを入力する必要があります。

私たちは安全な VPN ネットワークをセットアップし、それが難しくないことを確認しました。

感謝

Linux クライアント向けの VPN 接続の作成を簡素化するために共同で取り組んできた同僚の Vasily Shokov 氏と Alexander Smirnov 氏に改めて感謝したいと思います。

出所： habr.com