problēmas

Vēl nesen daudzi nezināja, kā ir strādāt no mājām. Pandēmija ir krasi mainījusi situāciju pasaulē, visi ir sākuši pielāgoties esošajiem apstākļiem, proti, tam, ka ir kļuvis vienkārši nedroši iziet no mājas. Un daudziem bija ātri jāorganizē darbs no mājām saviem darbiniekiem.

Tomēr kompetentas pieejas trūkums attālināta darba risinājumu izvēlei var radīt neatgriezeniskus zaudējumus. Lietotāju paroles var tikt nozagtas, un tas ļaus uzbrucējam nekontrolējami izveidot savienojumu ar uzņēmuma tīklu un IT resursiem.

Tāpēc tagad ir pieaugusi nepieciešamība izveidot uzticamus korporatīvos VPN tīklus. Es jums pastāstīšu par uzticams, droši и vienkāršs izmantojot VPN tīklu.

Tas darbojas saskaņā ar IPsec/L2TP shēmu, kas izmanto neatgūstamas atslēgas un sertifikātus, kas glabājas marķieros, lai autentificētu klientus, kā arī pārsūta datus tīklā šifrētā veidā.

Kā konfigurācijas demonstrācijas stendi tika izmantoti serveris ar CentOS 7 (adrese: centos.vpn.server.ad) un klients ar Ubuntu 20.04, kā arī klients ar Windows 10.

Sistēmas apraksts

VPN darbosies saskaņā ar IPSec + L2TP + PPP shēmu. Protokols Point-to-Point protokols (VPP) darbojas OSI modeļa datu posma slānī un nodrošina lietotāja autentifikāciju un pārsūtīto datu šifrēšanu. Tās dati ir iekapsulēti L2TP protokola datos, kas faktiski nodrošina savienojuma izveidi VPN tīklā, bet nenodrošina autentifikāciju un šifrēšanu.

L2TP dati ir iekapsulēti IPSec, kas nodrošina arī autentifikāciju un šifrēšanu, taču atšķirībā no PPP autentifikācija un šifrēšana notiek ierīces, nevis lietotāja līmenī.

Šī funkcija ļauj autentificēt lietotājus tikai no noteiktām ierīcēm. Mēs izmantosim IPSec protokolu tādu, kāds tas ir, un ļausim lietotāja autentifikāciju no jebkuras ierīces.

Lietotāja autentifikācija, izmantojot viedkartes, tiks veikta PPP protokola līmenī, izmantojot EAP-TLS protokolu.

Sīkāku informāciju par šīs shēmas darbību var atrast Šis raksts.

Kāpēc šī shēma atbilst visām trim laba VPN tīkla prasībām?

1. Šīs shēmas uzticamību ir pārbaudījis laiks. Tas ir izmantots VPN tīklu izvietošanai kopš 2000. gada.
2. Drošu lietotāja autentifikāciju nodrošina PPP protokols. PPP protokola standarta ieviešana, ko izstrādājis Pols Makerrass nenodrošina pietiekamu drošības līmeni, jo Autentifikācijai labākajā gadījumā tiek izmantota autentifikācija, izmantojot pieteikumvārdu un paroli. Mēs visi zinām, ka pieteikšanās paroli var izspiegot, uzminēt vai nozagt. Tomēr jau ilgu laiku izstrādātājs Jans Justs Keisers в tās īstenošana Šis protokols izlaboja šo problēmu un pievienoja iespēju autentifikācijai izmantot protokolus, kuru pamatā ir asimetriskā šifrēšana, piemēram, EAP-TLS. Turklāt viņš pievienoja iespēju autentifikācijai izmantot viedkartes, kas padarīja sistēmu drošāku.
   Šobrīd notiek aktīvas sarunas par šo divu projektu apvienošanu un varat būt droši, ka agri vai vēlu tas tomēr notiks. Piemēram, PPP labota versija Fedora krātuvēs atrodas jau ilgu laiku, autentifikācijai izmantojot drošus protokolus.
3. Vēl nesen šo tīklu varēja izmantot tikai Windows lietotāji, taču mūsu kolēģi no Maskavas Valsts universitātes Vasilijs Šokovs un Aleksandrs Smirnovs atrada vecs L2TP klienta projekts operētājsistēmai Linux un to modificēja. Kopā mēs novērsām daudzas kļūdas un nepilnības klienta darbā, vienkāršojām sistēmas uzstādīšanu un konfigurēšanu, pat veidojot no avota. Nozīmīgākie no tiem ir:
   • Novērstas vecā klienta saderības problēmas ar jauno openssl un qt versiju saskarni.
   • Pppd ir noņemts no pilnvaras PIN nodošanas pagaidu failā.
   • Novērsta nepareiza paroles pieprasījuma programmas palaišana, izmantojot grafisko interfeisu. Tas tika paveikts, instalējot pareizo vidi pakalpojumam xl2tpd.
   • L2tpIpsecVpn dēmona būvēšana tagad tiek veikta kopā ar paša klienta būvniecību, kas vienkāršo veidošanas un konfigurēšanas procesu.
   • Lai atvieglotu attīstību, Azure Pipelines sistēma ir pievienota, lai pārbaudītu būvējuma pareizību.
   • Pievienota iespēja piespiest pazemināt versiju drošības līmenis openssl kontekstā. Tas ir noderīgi, lai pareizi atbalstītu jaunas operētājsistēmas, kurās standarta drošības līmenis ir iestatīts uz 2, ar VPN tīkliem, kas izmanto sertifikātus, kas neatbilst šī līmeņa drošības prasībām. Šī opcija būs noderīga darbam ar esošajiem vecajiem VPN tīkliem.

Izlaboto versiju var atrast šo krātuvi.

Šis klients atbalsta viedkaršu izmantošanu autentifikācijai, kā arī pēc iespējas vairāk slēpj visas grūtības un grūtības, kas saistītas ar šīs shēmas iestatīšanu operētājsistēmā Linux, padarot klienta iestatīšanu pēc iespējas vienkāršāku un ātrāku.

Protams, ērtam savienojumam starp PPP un klienta GUI nebija iespējams bez papildu rediģējumiem katrā projektā, taču tie tomēr tika minimizēti un samazināti līdz minimumam:

• Fiksēts kļūda, nepareizi pārsūtot marķiera PIN kodu no PPP uz openssl kontekstu
• Fiksēts kļūda konfigurācijas ielādes un openssl konteksta inicializācijas secībā. Šī kļūda neļāva ielādēt neko no vietējā /etc/ppp/openssl.cnf konfigurācijas faila, izņemot informāciju par openssl dzinējiem darbam ar viedkartēm, kas radīja nopietnas neērtības, ja, piemēram, papildus informācijai par dzinējiem mēs gribējām iestatīt kaut ko citu. Piemēram, izveidojot savienojumu, noregulējiet drošības līmeni.

Tagad varat sākt iestatīšanu.

Servera noskaņošana

Instalēsim visas nepieciešamās pakotnes.

Stiprā gulbja instalēšana (IPsec)

Vispirms konfigurēsim ugunsmūri ipsec darbībai

sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reload

Pēc tam sāksim instalēšanu

sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswan

Pēc instalēšanas jums ir jākonfigurē strongswan (viena no IPSec implementācijām). Lai to izdarītu, rediģējiet failu /etc/strongswan/ipsec.conf :

config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey 

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=%any
    leftprotoport=udp/1701
    right=%any
    rightprotoport=udp/%any
    ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
    esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024

Mēs arī iestatīsim kopēju pieteikšanās paroli. Koplietotajai parolei jābūt zināmai visiem tīkla dalībniekiem autentifikācijai. Šī metode ir acīmredzami neuzticama, jo šī parole var viegli kļūt zināma personām, kurām mēs nevēlamies nodrošināt piekļuvi tīklam.
Tomēr pat šis fakts neietekmēs tīkla drošību, jo Pamatdatu šifrēšana un lietotāja autentifikācija tiek veikta ar PPP protokolu. Bet godīgi sakot, ir vērts atzīmēt, ka strongswan atbalsta drošākas autentifikācijas tehnoloģijas, piemēram, izmantojot privātās atslēgas. Strongswan ir arī iespēja nodrošināt autentifikāciju, izmantojot viedkartes, taču līdz šim tiek atbalstīts tikai ierobežots ierīču klāsts, un tāpēc autentifikācija, izmantojot Rutoken marķierus un viedkartes, joprojām ir sarežģīta. Iestatīsim vispārīgu paroli, izmantojot failu /etc/strongswan/ipsec.secrets:

# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"

Restartēsim strongswan:

sudo systemctl enable strongswan
sudo systemctl restart strongswan

xl2tp instalēšana

sudo dnf install xl2tpd

Konfigurēsim to, izmantojot failu /etc/xl2tpd/xl2tpd.conf:

[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes

[lns default]
exclusive = no
; определяет статический адрес сервера в виртуальной сети
local ip = 100.10.10.1
; задает диапазон виртуальных адресов
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; данную опцию можно отключить после успешной настройки сети
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; указывает адрес сервера в сети
name = centos.vpn.server.ad

Restartējam pakalpojumu:

sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpd

PPP iestatīšana

Ieteicams instalēt jaunāko pppd versiju. Lai to izdarītu, izpildiet šādu komandu secību:

sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

Rakstīt failā /etc/ppp/options.xl2tpd šādas (ja tur ir vērtības, varat tās dzēst):

ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1

noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000

Mēs izsniedzam saknes sertifikātu un servera sertifikātu:

#директория с сертификатами пользователей, УЦ и сервера
sudo mkdir /etc/ppp/certs
#директория с закрытыми ключами сервера и УЦ
sudo mkdir /etc/ppp/keys
#запрещаем любой доступ к этой дирректории кроме администатора
sudo chmod 0600 /etc/ppp/keys/

#генерируем ключ и выписываем сертификат УЦ
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"

#генерируем ключ и выписываем сертификат сервера
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserial

Tādējādi esam pabeiguši pamata servera iestatīšanu. Pārējā servera konfigurācija ietver jaunu klientu pievienošanu.

Jauna klienta pievienošana

Lai tīklam pievienotu jaunu klientu, tā sertifikāts ir jāpievieno šī klienta uzticamo klientu sarakstam.

Ja lietotājs vēlas kļūt par VPN tīkla dalībnieku, viņš šim klientam izveido atslēgu pāri un sertifikāta lietojumprogrammu. Ja lietotājs ir uzticams, tad šo lietojumprogrammu var parakstīt un iegūto sertifikātu var ierakstīt sertifikātu direktorijā:

sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserial

Pievienosim /etc/ppp/eaptls-server failam rindiņu, kas atbilst klienta nosaukumam un tā sertifikātam:

"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *

PIEZĪME
Lai izvairītos no neskaidrībām, labāk, ja: parastais nosaukums, sertifikāta faila nosaukums un lietotājvārds ir unikāli.

Tāpat ir vērts pārbaudīt, vai mūsu pievienojamā lietotāja vārds nekur neparādās citos autentifikācijas failos, pretējā gadījumā radīsies problēmas ar lietotāja autentifikācijas veidu.

Tas pats sertifikāts ir jānosūta atpakaļ lietotājam.

Atslēgu pāra un sertifikāta ģenerēšana

Veiksmīgai autentifikācijai klientam ir:

1. ģenerēt atslēgu pāri;
2. ir CA saknes sertifikāts;
3. ir sertifikāts jūsu atslēgu pārim, ko parakstījusi saknes CA.

klientam operētājsistēmā Linux

Vispirms uz marķiera ģenerēsim atslēgu pāri un izveidosim sertifikāta lietojumprogrammu:

#идентификатор ключа (параметр --id) можно заменить на любой другой.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"

Nosūtiet parādīto lietojumprogrammu client.req uz CA. Kad esat saņēmis sertifikātu savam atslēgu pārim, ierakstiet to pilnvarā ar tādu pašu ID kā atslēgai:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id  45

Windows un Linux klientiem (universālāka metode)

Šī metode ir universālāka, jo ļauj ģenerēt atslēgu un sertifikātu, ko veiksmīgi atpazīs Windows un Linux lietotāji, taču tam ir nepieciešama Windows mašīna, lai veiktu atslēgu ģenerēšanas procedūru.

Pirms pieprasījumu ģenerēšanas un sertifikātu importēšanas VPN tīkla saknes sertifikāts jāpievieno uzticamo sarakstam. Lai to izdarītu, atveriet to un atvērtajā logā atlasiet opciju “Instalēt sertifikātu”:

Atvērtajā logā atlasiet sertifikāta instalēšanu vietējam lietotājam:

Instalēsim sertifikātu CA uzticamajā saknes sertifikātu krātuvē:

Pēc visām šīm darbībām mēs piekrītam visiem turpmākajiem punktiem. Sistēma tagad ir konfigurēta.

Izveidosim failu cert.tmp ar šādu saturu:

[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE" 
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSE

Pēc tam mēs ģenerēsim atslēgu pāri un izveidosim sertifikāta lietojumprogrammu. Lai to izdarītu, atveriet Powershell un ievadiet šādu komandu:

certreq.exe -new -pin $PIN .cert.tmp .client.req

Nosūtiet izveidoto lietojumprogrammu client.req savai CA un gaidiet, līdz tiks saņemts client.pem sertifikāts. To var ierakstīt pilnvarā un pievienot Windows sertifikātu krātuvei, izmantojot šādu komandu:

certreq.exe -accept .client.pem

Ir vērts atzīmēt, ka līdzīgas darbības var reproducēt, izmantojot mmc programmas grafisko interfeisu, taču šī metode ir laikietilpīgāka un mazāk programmējama.

Ubuntu klienta iestatīšana

PIEZĪME
Klienta iestatīšana operētājsistēmā Linux pašlaik ir diezgan laikietilpīga, jo... nepieciešama atsevišķu programmu izveide no avota. Mēs centīsimies nodrošināt, lai visas izmaiņas tuvākajā laikā tiktu iekļautas oficiālajos krātuvēs.

Lai nodrošinātu savienojumu ar serveri IPSec līmenī, tiek izmantota pakete strongswan un xl2tp dēmons. Lai vienkāršotu savienojuma izveidi ar tīklu, izmantojot viedkartes, mēs izmantosim l2tp-ipsec-vpn pakotni, kas nodrošina grafisko apvalku vienkāršotai savienojuma iestatīšanai.

Sāksim elementu montāžu soli pa solim, bet pirms tam instalēsim visas nepieciešamās pakotnes, lai VPN darbotos tieši:

sudo apt-get install xl2tpd strongswan libp11-3

Programmatūras instalēšana darbam ar žetoniem

Instalējiet jaunāko bibliotēku librtpkcs11ecp.so no сайта, arī bibliotēkas darbam ar viedkartēm:

sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-openssl

Pievienojiet Rutoken un pārbaudiet, vai sistēma to atpazīst:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so  -O -l

Patched ppp instalēšana

sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

L2tpIpsecVpn klienta instalēšana

Šobrīd klientam ir jākompilējas arī no pirmkoda. Tas tiek darīts, izmantojot šādu komandu secību:

sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make install

L2tpIpsecVpn klienta iestatīšana

Palaidiet instalēto klientu:

Pēc palaišanas vajadzētu atvērt L2tpIpsecVPN sīklietotni. Ar peles labo pogu noklikšķiniet uz tā un konfigurējiet savienojumu:

Lai strādātu ar marķieriem, pirmkārt, mēs norādām ceļu uz OpenSSL dzinēja opensc dzinēju un PKCS#11 bibliotēku. Lai to izdarītu, atveriet cilni "Preferences", lai konfigurētu openssl parametrus:

.

Aizveram OpenSSL iestatījumu logu un pāriesim pie tīkla iestatīšanas. Pievienosim jaunu tīklu, iestatījumu panelī noklikšķinot uz pogas Pievienot... un ievadiet tīkla nosaukumu:

Pēc tam šis tīkls būs pieejams iestatījumu panelī. Veiciet dubultklikšķi uz jaunā tīkla, lai to konfigurētu. Pirmajā cilnē jums jāievada IPsec iestatījumi. Iestatīsim servera adresi un publisko atslēgu:

Pēc tam dodieties uz cilni PPP iestatījumi un norādiet tur lietotājvārdu, ar kuru mēs vēlamies piekļūt tīklam:

Pēc tam atveriet cilni Rekvizīti un norādiet ceļu uz atslēgu, klienta sertifikātu un CA:

Aizveram šo cilni un veiksim galīgos iestatījumus; lai to izdarītu, atveriet cilni "IP iestatījumi" un atzīmējiet izvēles rūtiņu blakus opcijai "Automātiski iegūt DNS servera adresi":

Šī opcija ļaus klientam saņemt personīgo IP adresi tīklā no servera.

Pēc visu iestatījumu veikšanas aizveriet visas cilnes un restartējiet klientu:

Tīkla savienojums

Pēc iestatījumu veikšanas varat izveidot savienojumu ar tīklu. Lai to izdarītu, atveriet sīklietotnes cilni un atlasiet tīklu, ar kuru mēs vēlamies izveidot savienojumu:

Savienojuma izveides laikā klients lūgs ievadīt Rutoken PIN kodu:

Ja statusa joslā tiek parādīts paziņojums, ka savienojums ir veiksmīgi izveidots, tas nozīmē, ka iestatīšana bija veiksmīga:

Pretējā gadījumā ir vērts noskaidrot, kāpēc savienojums netika izveidots. Lai to izdarītu, jums vajadzētu apskatīt programmas žurnālu, sīklietotnē atlasot komandu "Savienojuma informācija":

Windows klienta iestatīšana

Klienta iestatīšana operētājsistēmā Windows ir daudz vienkāršāka nekā Linux, jo... Visa nepieciešamā programmatūra jau ir iebūvēta sistēmā.

Sistēmas iestatīšana

Mēs instalēsim visus nepieciešamos draiverus darbam ar Rutokens, lejupielādējot tos no no. vietne.

Saknes sertifikāta importēšana autentifikācijai

Lejupielādējiet servera saknes sertifikātu un instalējiet to sistēmā. Lai to izdarītu, atveriet to un atvērtajā logā atlasiet opciju “Instalēt sertifikātu”:

Atvērtajā logā atlasiet sertifikāta instalēšanu vietējam lietotājam. Ja vēlaties, lai sertifikāts būtu pieejams visiem datora lietotājiem, izvēlieties sertifikātu instalēt lokālajā datorā:

Instalēsim sertifikātu CA uzticamajā saknes sertifikātu krātuvē:

Pēc visām šīm darbībām mēs piekrītam visiem turpmākajiem punktiem. Sistēma tagad ir konfigurēta.

VPN savienojuma iestatīšana

Lai iestatītu VPN savienojumu, dodieties uz vadības paneli un atlasiet iespēju izveidot jaunu savienojumu.

Uznirstošajā logā atlasiet opciju, lai izveidotu savienojumu, lai izveidotu savienojumu ar savu darba vietu:

Nākamajā logā atlasiet VPN savienojumu:

un ievadiet VPN savienojuma informāciju, kā arī norādiet iespēju izmantot viedkarti:

Iestatīšana vēl nav pabeigta. Atliek tikai norādīt IPsec protokola koplietoto atslēgu; lai to izdarītu, dodieties uz cilni “Tīkla savienojuma iestatījumi” un pēc tam uz cilni “Šī savienojuma rekvizīti”.

Atvērtajā logā dodieties uz cilni “Drošība”, kā tīkla veidu norādiet “L2TP/IPsec tīkls” un atlasiet “Papildu iestatījumi”:

Atvērtajā logā norādiet koplietoto IPsec atslēgu:

Pieslēgums

Pēc iestatīšanas varat mēģināt izveidot savienojumu ar tīklu:

Savienojuma laikā mums būs jāievada marķiera PIN kods:

Esam izveidojuši drošu VPN tīklu un pārliecinājušies, ka tas nav grūti.

Pateicības

Vēlos vēlreiz pateikties mūsu kolēģiem Vasilijam Šokovam un Aleksandram Smirnovam par kopīgi paveikto darbu, lai vienkāršotu VPN savienojumu izveidi Linux klientiem.

Avots: www.habr.com