문제

최근에는 재택근무가 어떤 것인지 모르는 사람이 많습니다. 전염병은 세계 상황을 극적으로 변화시켰고, 모든 사람이 현재 상황, 즉 집을 떠나는 것이 단순히 안전하지 않다는 사실에 적응하기 시작했습니다. 그리고 많은 사람들이 직원들을 위해 재택근무를 신속하게 조직해야 했습니다.

그러나 원격 작업을 위한 솔루션을 선택하는 데 있어 유능한 접근 방식이 부족하면 돌이킬 수 없는 손실이 발생할 수 있습니다. 사용자 암호는 도난당할 수 있으며, 이로 인해 공격자는 기업의 네트워크 및 IT 리소스에 통제할 수 없게 연결할 수 있습니다.

그렇기 때문에 이제 안정적인 기업 VPN 네트워크를 구축해야 할 필요성이 높아졌습니다. 나는 당신에게 말할 것입니다 믿을 수있는, 안전한 и 단순한 VPN 네트워크 사용 시.

이는 토큰에 저장된 검색 불가능한 키와 인증서를 사용하여 클라이언트를 인증하고 암호화된 형식으로 네트워크를 통해 데이터를 전송하는 IPsec/L2TP 체계에 따라 작동합니다.

CentOS 7이 설치된 서버(주소: centos.vpn.server.ad)와 Ubuntu 20.04가 설치된 클라이언트, Windows 10이 설치된 클라이언트가 구성 시연대로 사용되었습니다.

시스템 설명

VPN은 IPSec + L2TP + PPP 방식에 따라 작동합니다. 규약 지점 간 프로토콜 (PPP)는 OSI 모델의 데이터 링크 계층에서 작동하며 사용자 인증 및 전송된 데이터의 암호화를 제공합니다. 해당 데이터는 실제로 VPN 네트워크에서 연결 생성을 보장하지만 인증 및 암호화를 제공하지 않는 L2TP 프로토콜의 데이터에 캡슐화됩니다.

L2TP 데이터는 인증 및 암호화도 제공하는 IPSec에 캡슐화되지만 PPP와 달리 인증 및 암호화는 사용자 수준이 아닌 장치 수준에서 발생합니다.

이 기능을 사용하면 특정 장치에서만 사용자를 인증할 수 있습니다. IPSec 프로토콜을 그대로 사용하고 모든 장치에서 사용자 인증을 허용합니다.

스마트 카드를 사용한 사용자 인증은 EAP-TLS 프로토콜을 사용하여 PPP 프로토콜 수준에서 수행됩니다.

이 회로의 작동에 대한 자세한 내용은 다음에서 확인할 수 있습니다. 이 기사.

이 방식이 좋은 VPN 네트워크의 세 가지 요구 사항을 모두 충족하는 이유는 무엇입니까?

1. 이 계획의 신뢰성은 시간에 따라 테스트되었습니다. 2000년부터 VPN 네트워크를 배포하는 데 사용되었습니다.
2. 안전한 사용자 인증은 PPP 프로토콜을 통해 제공됩니다. Paul Mackerras가 개발한 PPP 프로토콜의 표준 구현 충분한 수준의 보안을 제공하지 않기 때문입니다. 인증을 위해서는 로그인과 비밀번호를 사용한 인증이 사용되는 것이 가장 좋습니다. 우리 모두는 로그인 비밀번호가 염탐, 추측 또는 도난당할 수 있다는 것을 알고 있습니다. 그러나 오랫동안 개발자는 얀 저스트 카이저 в 구현 이 프로토콜은 이 문제를 수정하고 인증을 위해 EAP-TLS와 같은 비대칭 암호화 기반 프로토콜을 사용하는 기능을 추가했습니다. 또한 인증을 위해 스마트 카드를 사용할 수 있는 기능을 추가하여 시스템을 더욱 안전하게 만들었습니다.
   현재 이 두 프로젝트를 병합하기 위한 활발한 협상이 진행 중이며 조만간 이런 일이 일어날 것이라고 확신할 수 있습니다. 예를 들어 패치된 PPP 버전은 인증을 위해 보안 프로토콜을 사용하여 오랫동안 Fedora 저장소에 있었습니다.
3. 최근까지 이 네트워크는 Windows 사용자만 사용할 수 있었지만 모스크바 주립 대학 Vasily Shokov와 Alexander Smirnov의 동료들이 발견했습니다. Linux용 이전 L2TP 클라이언트 프로젝트 수정했습니다. 우리는 클라이언트 작업의 많은 버그와 단점을 함께 수정하고, 소스에서 빌드하는 경우에도 시스템 설치 및 구성을 단순화했습니다. 그 중 가장 중요한 것은 다음과 같습니다.
   • 새로운 버전의 openssl 및 qt 인터페이스와 이전 클라이언트의 호환성 문제가 수정되었습니다.
   • 임시 파일을 통해 토큰 PIN을 전달하는 pppd를 제거했습니다.
   • 그래픽 인터페이스를 통한 비밀번호 요청 프로그램의 잘못된 실행을 수정했습니다. 이는 xl2tpd 서비스에 대한 올바른 환경을 설치하여 수행되었습니다.
   • 이제 L2tpIpsecVpn 데몬 빌드가 클라이언트 자체 빌드와 함께 수행되므로 빌드 및 구성 프로세스가 단순화됩니다.
   • 개발 편의성을 위해 Azure Pipelines 시스템이 연결되어 빌드의 정확성을 테스트합니다.
   • 강제 다운그레이드 기능 추가 보안 수준 openssl의 맥락에서. 이는 표준 보안 수준이 2로 설정된 새 운영 체제와 이 수준의 보안 요구 사항을 충족하지 않는 인증서를 사용하는 VPN 네트워크를 올바르게 지원하는 데 유용합니다. 이 옵션은 기존의 기존 VPN 네트워크를 사용하는 데 유용합니다.

수정된 버전은 다음에서 찾을 수 있습니다. 이 저장소.

이 클라이언트는 인증을 위한 스마트 카드 사용을 지원하며 Linux에서 이 체계를 설정하는 데 따른 모든 어려움을 최대한 숨겨 클라이언트 설정을 최대한 간단하고 빠르게 만듭니다.

물론 PPP와 클라이언트 GUI 간의 편리한 연결을 위해 각 프로젝트에 대한 추가 편집 없이는 불가능했지만 그럼에도 불구하고 최소화되고 최소한으로 축소되었습니다.

• 결정된 PPP에서 openssl 컨텍스트로 토큰 PIN 코드를 잘못 전달하는 중 오류가 발생했습니다.
• 결정된 구성을 로드하고 openssl 컨텍스트를 초기화하는 순서에 오류가 발생했습니다.. 이 오류로 인해 스마트 카드 작업을 위한 openssl 엔진에 대한 정보를 제외하고 로컬 /etc/ppp/openssl.cnf 구성 파일에서 아무것도 로드할 수 없었습니다. 이는 예를 들어 엔진에 대한 정보 외에 다음과 같은 경우 심각한 불편을 겪었습니다. 우리는 뭔가 다른 것을 설정하고 싶었습니다. 예를 들어 연결을 설정할 때 보안 수준을 수정합니다.

이제 설정을 시작할 수 있습니다.

서버 튜닝

필요한 패키지를 모두 설치해 보겠습니다.

Strongswan(IPsec) 설치

우선 IPsec 동작을 위한 방화벽을 구성해보자

sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reload

그럼 설치를 시작해보자

sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswan

설치 후에는 Strongswan(IPSec 구현 중 하나)을 구성해야 합니다. 이렇게 하려면 파일을 편집하세요. /etc/strongswan/ipsec.conf :

config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey 

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=%any
    leftprotoport=udp/1701
    right=%any
    rightprotoport=udp/%any
    ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
    esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024

또한 공통 로그인 비밀번호를 설정하겠습니다. 인증을 위해서는 공유 비밀번호를 모든 네트워크 참가자에게 알려야 합니다. 이 방법은 확실히 신뢰할 수 없습니다. 이 비밀번호는 네트워크에 대한 액세스 권한을 제공하고 싶지 않은 개인에게 쉽게 알려질 수 있습니다.
그러나 이 사실조차도 네트워크 보안에는 영향을 미치지 않습니다. 기본 데이터 암호화 및 사용자 인증은 PPP 프로토콜에 의해 수행됩니다. 그러나 공정하게 말하면 Strongswan이 개인 키를 사용하는 등 보다 안전한 인증 기술을 지원한다는 점은 주목할 가치가 있습니다. Strongswan은 스마트 카드를 이용한 인증 기능도 제공하지만 아직까지는 제한된 범위의 장치만 지원되므로 Rutoken 토큰과 스마트 카드를 이용한 인증은 여전히 ​​어렵습니다. 파일을 통해 일반 비밀번호를 설정해보자 /etc/strongswan/ipsec.secrets:

# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"

Strongswan을 다시 시작해 보겠습니다.

sudo systemctl enable strongswan
sudo systemctl restart strongswan

xl2tp 설치

sudo dnf install xl2tpd

파일을 통해 구성하자 /etc/xl2tpd/xl2tpd.conf:

[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes

[lns default]
exclusive = no
; определяет статический адрес сервера в виртуальной сети
local ip = 100.10.10.1
; задает диапазон виртуальных адресов
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; данную опцию можно отключить после успешной настройки сети
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; указывает адрес сервера в сети
name = centos.vpn.server.ad

서비스를 다시 시작해 보겠습니다.

sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpd

PPP 설정

최신 버전의 pppd를 설치하는 것이 좋습니다. 이렇게 하려면 다음 명령을 순서대로 실행하십시오.

sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

파일에 쓰기 /etc/ppp/options.xl2tpd 다음(값이 있으면 삭제할 수 있음):

ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1

noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000

루트 인증서와 서버 인증서를 발급합니다.

#директория с сертификатами пользователей, УЦ и сервера
sudo mkdir /etc/ppp/certs
#директория с закрытыми ключами сервера и УЦ
sudo mkdir /etc/ppp/keys
#запрещаем любой доступ к этой дирректории кроме администатора
sudo chmod 0600 /etc/ppp/keys/

#генерируем ключ и выписываем сертификат УЦ
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"

#генерируем ключ и выписываем сертификат сервера
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserial

이로써 기본 서버 설정이 완료되었습니다. 나머지 서버 구성에는 새 클라이언트 추가가 포함됩니다.

새 클라이언트 추가

네트워크에 새 클라이언트를 추가하려면 이 클라이언트에 대해 신뢰할 수 있는 인증서 목록에 해당 인증서를 추가해야 합니다.

사용자가 VPN 네트워크의 구성원이 되기를 원하는 경우 이 클라이언트에 대한 키 쌍과 인증서 애플리케이션을 생성합니다. 사용자를 신뢰할 수 있는 경우 이 애플리케이션에 서명할 수 있으며 결과 인증서는 인증서 디렉터리에 기록될 수 있습니다.

sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserial

클라이언트 이름 및 인증서와 일치하도록 /etc/ppp/eaptls-server 파일에 한 줄을 추가해 보겠습니다.

"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *

주의사항
혼동을 피하려면 다음을 수행하는 것이 좋습니다. 일반 이름, 인증서 파일 이름 및 사용자 이름은 고유해야 합니다.

또한 우리가 추가하는 사용자의 이름이 다른 인증 파일 어디에도 나타나지 않는지 확인하는 것도 좋습니다. 그렇지 않으면 사용자 인증 방식에 문제가 있을 수 있습니다.

동일한 인증서를 사용자에게 다시 전송해야 합니다.

키 쌍 및 인증서 생성

성공적인 인증을 위해 클라이언트는 다음을 수행해야 합니다.

1. 키 쌍을 생성합니다.
2. CA 루트 인증서가 있어야 합니다.
3. 루트 CA에서 서명한 키 쌍에 대한 인증서가 있어야 합니다.

Linux 클라이언트의 경우

먼저 토큰에 대한 키 쌍을 생성하고 인증서용 애플리케이션을 생성해 보겠습니다.

#идентификатор ключа (параметр --id) можно заменить на любой другой.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"

CA에 나타나는 client.req 애플리케이션을 보냅니다. 키 쌍에 대한 인증서를 받으면 키와 동일한 ID를 가진 토큰에 이를 작성합니다.

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id  45

Windows 및 Linux 클라이언트용(보다 보편적인 방법)

이 방법은 더 보편적이기 때문에 Windows 및 Linux 사용자가 성공적으로 인식할 수 있는 키와 인증서를 생성할 수 있지만 키 생성 절차를 수행하려면 Windows 시스템이 필요합니다.

요청을 생성하고 인증서를 가져오기 전에 VPN 네트워크의 루트 인증서를 신뢰할 수 있는 인증서 목록에 추가해야 합니다. 이렇게 하려면 해당 창을 열고 열리는 창에서 "인증서 설치" 옵션을 선택하십시오.

열리는 창에서 로컬 사용자를 위한 인증서 설치를 선택합니다.

CA의 신뢰할 수 있는 루트 인증서 저장소에 인증서를 설치해 보겠습니다.

이러한 모든 조치 후에 우리는 모든 추가 사항에 동의합니다. 이제 시스템이 구성되었습니다.

다음 내용으로 cert.tmp 파일을 만들어 보겠습니다.

[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE" 
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSE

그런 다음 키 쌍을 생성하고 인증서에 대한 애플리케이션을 생성합니다. 이렇게 하려면 powershell을 열고 다음 명령을 입력하십시오.

certreq.exe -new -pin $PIN .cert.tmp .client.req

생성된 애플리케이션 client.req를 CA에 보내고 client.pem 인증서가 수신될 때까지 기다립니다. 다음 명령을 사용하여 토큰에 기록하고 Windows 인증서 저장소에 추가할 수 있습니다.

certreq.exe -accept .client.pem

mmc 프로그램의 그래픽 인터페이스를 사용하여 유사한 작업을 재현할 수 있다는 점은 주목할 가치가 있지만 이 방법은 시간이 더 많이 걸리고 프로그래밍 가능성이 낮습니다.

Ubuntu 클라이언트 설정

주의사항
Linux에서 클라이언트를 설정하는 것은 현재 시간이 많이 소요됩니다. 왜냐하면... 소스와 별도의 프로그램을 구축해야 합니다. 우리는 가까운 시일 내에 모든 변경 사항이 공식 저장소에 포함될 수 있도록 노력할 것입니다.

IPSec 수준에서 서버에 대한 연결을 보장하기 위해 Strongswan 패키지와 xl2tp 데몬이 사용됩니다. 스마트 카드를 사용하여 네트워크 연결을 단순화하기 위해 단순화된 연결 설정을 위한 그래픽 셸을 제공하는 l2tp-ipsec-vpn 패키지를 사용합니다.

단계별로 요소를 조립해 보겠습니다. 그 전에 VPN이 직접 작동하는 데 필요한 모든 패키지를 설치하겠습니다.

sudo apt-get install xl2tpd strongswan libp11-3

토큰 작업을 위한 소프트웨어 설치

다음에서 최신 librtpkcs11ecp.so 라이브러리를 설치하십시오. сайта, 스마트 카드 작업을 위한 라이브러리:

sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-openssl

Rutoken을 연결하고 시스템에서 인식되는지 확인합니다.

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so  -O -l

패치된 ppp 설치

sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

L2tpIpsecVpn 클라이언트 설치

현재로서는 클라이언트도 소스 코드에서 컴파일해야 합니다. 이 작업은 다음 명령 순서를 사용하여 수행됩니다.

sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make install

L2tpIpsecVpn 클라이언트 설정

설치된 클라이언트를 실행합니다:

실행 후 L2tpIpsecVPN 애플릿이 열립니다. 마우스 오른쪽 버튼을 클릭하고 연결을 구성합니다.

토큰 작업을 위해 먼저 OpenSSL 엔진의 opensc 엔진과 PKCS#11 라이브러리에 대한 경로를 지정합니다. 이렇게 하려면 "기본 설정" 탭을 열어 openssl 매개변수를 구성하세요.

.

OpenSSL 설정 창을 닫고 네트워크 설정으로 넘어 갑시다. 설정 패널에서 추가... 버튼을 클릭하고 네트워크 이름을 입력하여 새 네트워크를 추가해 보겠습니다.

그 후에는 설정 패널에서 이 네트워크를 사용할 수 있게 됩니다. 새 네트워크를 마우스 오른쪽 버튼으로 두 번 클릭하여 구성합니다. 첫 번째 탭에서는 IPsec 설정을 지정해야 합니다. 서버 주소와 공개 키를 설정해 보겠습니다.

그런 다음 PPP 설정 탭으로 이동하여 네트워크에 액세스하려는 사용자 이름을 표시하십시오.

그런 다음 속성 탭을 열고 키, 클라이언트 인증서 및 CA의 경로를 지정합니다.

이 탭을 닫고 최종 설정을 수행해 보겠습니다. 이렇게 하려면 "IP 설정" 탭을 열고 "자동으로 DNS 서버 주소 받기" 옵션 옆의 확인란을 선택하세요.

이 옵션을 사용하면 클라이언트가 서버로부터 네트워크 내의 개인 IP 주소를 받을 수 있습니다.

모든 설정이 끝나면 모든 탭을 닫고 클라이언트를 다시 시작하십시오.

РџРѕРґРєР»СЋС ‡ РμРЅРёРμ Рє СЃРμС'Рё

설정이 완료되면 네트워크에 연결할 수 있습니다. 이렇게 하려면 애플릿 탭을 열고 연결하려는 네트워크를 선택하십시오.

연결 설정 프로세스 중에 클라이언트는 Rutoken PIN 코드를 입력하도록 요청합니다.

연결이 성공적으로 설정되었다는 알림이 상태 표시줄에 나타나면 설정이 성공했다는 의미입니다.

그렇지 않으면 연결이 설정되지 않은 이유를 알아내는 것이 좋습니다. 이렇게 하려면 애플릿에서 "연결 정보" 명령을 선택하여 프로그램 로그를 확인해야 합니다.

Windows 클라이언트 설정

Windows에서 클라이언트를 설정하는 것은 Linux보다 훨씬 쉽습니다. 왜냐하면... 필요한 모든 소프트웨어는 이미 시스템에 내장되어 있습니다.

시스템 설치

Rutoken 작업에 필요한 모든 드라이버를 다음에서 다운로드하여 설치합니다. 의. 대지.

인증을 위한 루트 인증서 가져오기

서버 루트 인증서를 다운로드하여 시스템에 설치합니다. 이렇게 하려면 해당 창을 열고 열리는 창에서 "인증서 설치" 옵션을 선택하십시오.

열리는 창에서 로컬 사용자를 위한 인증서 설치를 선택합니다. 컴퓨터의 모든 사용자가 인증서를 사용할 수 있도록 하려면 로컬 컴퓨터에 인증서를 설치하도록 선택해야 합니다.

CA의 신뢰할 수 있는 루트 인증서 저장소에 인증서를 설치해 보겠습니다.

이러한 모든 조치 후에 우리는 모든 추가 사항에 동의합니다. 이제 시스템이 구성되었습니다.

VPN 연결 설정

VPN 연결을 설정하려면 제어판으로 이동하여 새 연결 생성 옵션을 선택하세요.

팝업 창에서 직장에 연결하기 위한 연결을 생성하는 옵션을 선택합니다.

다음 창에서 VPN 연결을 선택하세요.

VPN 연결 세부 정보를 입력하고 스마트 카드 사용 옵션도 지정합니다.

아직 설정이 완료되지 않았습니다. 남은 것은 IPsec 프로토콜에 대한 공유 키를 지정하는 것뿐입니다. 이를 수행하려면 "네트워크 연결 설정" 탭으로 이동한 다음 "이 연결의 속성" 탭으로 이동합니다.

열리는 창에서 "보안" 탭으로 이동하여 네트워크 유형으로 "L2TP/IPsec 네트워크"를 지정하고 "고급 설정"을 선택합니다.

열리는 창에서 공유 IPsec 키를 지정합니다.

Подключение

설정을 완료한 후 네트워크에 연결해 볼 수 있습니다.

연결 프로세스 중에 토큰 PIN 코드를 입력해야 합니다.

우리는 안전한 VPN 네트워크를 설정하고 그것이 어렵지 않도록 했습니다.

감사의 말

Linux 클라이언트용 VPN 연결 생성을 단순화하기 위해 함께 작업한 동료 Vasily Shokov와 Alexander Smirnov에게 다시 한 번 감사의 말씀을 전하고 싶습니다.

출처 : habr.com