Instrukcja

Bezpieczeństwo Sieci Korporacyjnych 2015/2016
Temat Laboratorium: VPN SSL z uwierzytelnianiem LDAP
Prowadzący: Jarosław Białas
Wprowadzenie
Celem tego laboratorium jest zapoznanie się z metodami zapewniania bezpieczeństwa sieci korzystając
z rozwiązań VPN SSL z uwierzytelnianiem za pomocą serwera LDAP. Jako serwer VPN zostanie wykorzystane urządzenie FortiWifi40C firmy Fortigate. Jako serwer LDAP posłuży komputer z systemem
Ubuntu oraz zainstalowanym serwerem LDAP.
Wymagany sprzęt i oprogramowanie:
• 3 komputery z systemem Linux (preferowany system to Ubuntu)
• 1 urządzenie Fortinet z usługą VPN SSL (np: FortiWifi 40C)
• Kable ethernetowe
• Wymagane oprogramowanie:
◦ Apache, serwer FTP, serwer SSH, serwer LDAP, opcjonalnie - Network Manager.
Plan przebiegu laboratorium:
• Zapoznaj się z formatką raportu
• Wysłuchaj wprowadzenia do laboratorium
• Zaprojektuj sieć według wytycznych do laboratorium (wprowadzenie)
• Połącz elementy sieci, sprawdź łączność
• Skonfiguruj maszyny (Apache, serwer FTP, serwer SSH, serwer LDAP)
• Sprawdź widoczność usług
• Dodaj odpowiednie polityki ruchu sieciowego
• Skonfiguruj portal VPN na urządzeniu FortiWifi i przeprowadź próbę uwierzytelniania przy
użyciu wbudowanego użytkownika
• Dodaj użytkowników uprawnionych do dostępu do sieci VPN z serwera LDAP, a następnie
przeprowadź próbę ich uwierzytelniania
• Oddaj wypełniony raport - warunek konieczny zaliczenia laboratorium.
FortiWifi 40C, krótki opis urządzenia
Platforma FortiWiFi-40C to urządzenie przeznaczone dla małych firm oraz niedużych oddziałów lokalnych wymagających pełnego zestawu funkcji ochronnych, charakterystycznych dla większych rozwiązań, w jednym małym urządzeniu. Zapewniają one kompleksową ochronę przeciwko szerokiej grupie
współczesnych zagrożeń. Zalety rozwiązania:
• Firewall, VPN, kształtowanie ruchu
• Kontrola aplikacji
• Intrusion Prevention System (IPS)
• Antimalware
• Antivirus
• Antispam
• Filtrowanie ruchu sieciowego
1
Bezpieczeństwo Sieci Korporacyjnych 2015/2016
Temat Laboratorium: VPN SSL z uwierzytelnianiem LDAP
Prowadzący: Jarosław Białas
Rysunek 1: Schemat ogólny połączenia z wykorzystaniem VPN i serwera LDAP
Przebieg laboratorium
1. Wstępna konfiguracja środowiska testowego
• Opracowanie schematu sieci (połączenia, numeracja urządzeń i portów, adresacja). Rysunek
należy umieścić w raporcie.
• Konfiguracja komputera z sieci zewnętrznej
1
• Konfiguracja komputerów z sieci wewnętrznej
1
• Połączenie komputerów za pomocą urządzenia Fortigate
• Ściągawka do adresacji hostów w systemach Unix (zastąp ethX właściwą nazwą interfejsu):
◦ ip addr add 192.168.1.N/24 dev ethX
◦ ip link set dev ethX up
2. Konfiguracja hostów w sieci wewnętrznej
• Instalacja paczek
◦ Dodaj repozytorium universe:
sudo add-apt-repository "deb http://archive.ubuntu.com/ubuntu \
$(lsb_release -sc) universe"
sudo apt-get update
◦ Instalacja paczek (wybierz potrzebne):
sudo apt-get -y install slapd ldap-utils phpldapadmin ssh vsftpd
• Konfiguracja serwera LDAP
◦ popraw konfigurację w plikach
/etc/ldap/ldap.conf
/etc/phpldapadmin/config.php
◦ Przeładowanie konfiguracji serwera LDAP:
sudo dpkg-reconfigure slapd
◦ Restart serwera LDAP i apache:
/etc/init.d/slapd restart
/etc/init.d/apache2 restart
◦ Zaloguj się na serwer LDAP:
http://192.168.1.X/phpldapadmin
◦ Dodaj nowe jednostki organizacyjne: users, groups
1 Adresacje
można przeprowadzić przy użyciu Network Managera, albo przy użyciu linii poleceń (wtedy należy wyłączyć Network Managera, aby nie nadpisywał konfiguracji)
2
Bezpieczeństwo Sieci Korporacyjnych 2015/2016
Temat Laboratorium: VPN SSL z uwierzytelnianiem LDAP
Prowadzący: Jarosław Białas
◦ Dodaj nową grupę cn=students,ou=groups,dc=bst-lab,dc=com
◦ Dodaj nowego użytkownika cn=johndoe,ou=users,dc=bst-lab,dc=com.
• Konfiguracja serwera Apache, FTP, SSH
◦ Uruchom serwer:
/etc/init.d/apache2 start
/etc/init.d/vsftpd start
/etc/init.d/ssh start
3. Konfiguracja urządzenia FortiWifi 40C,
3.1 Konfiguracja bazowa (https://192.168.1.99, l:admin p:<brak hasła>)
• Adres interfejsu WAN1: 10.1.1.1, Manual
• Adres interfejsu INTERNAL: 192.168.1.99, Manual
• Dodaj nowego użytkownika, utwórz grupę fct_users i dodaj go do niej
• Dodaj obiekt: sieć 192.168.1.0/24 na interfejsie INTERNAL, nazwij ją 192.168.1-network
• Dodaj obiekt: grupę hostów 10.1.1.100-200, na interfejsie WAN1, nazwij ją fct_hosts
• Dodaj obiekt: grupę work-group, dodaj do niej podsieć 192.168.1-network
• Dodaj politykę pozwalającą na przepuszczenie ruchu użytkowników z grupy fct_users
z hostów fct_hosts z interfejsu ssl.root do grupy work-group na interfejsie internal.
Zezwól na pełne dostęp, włącz ochronę AV
3.2 VPN Portal
• Skonfiguruj Portal VPN tak, żeby pozwalał na tunelowanie i był aktywny. Jako dozwolone hosty zaznacz grupę fct_hosts. Sprawdź numer portu na jakim działa usługa i w
razie potrzeby zmień go tak żeby nie powodował konfliktów.
• Sprawdź działanie portalu (https://10.1.1.1:NR_PORTU).
• Dodaj do strony portalu z zakładkami do uruchomionych w sieci wewnętrznej usług.
3.3 LDAP
• Dodaj serwer LDAP jako jedną z metod uwierzytelniania dla połączeń VPN - dodaj nowego użytkownika z serwera LDAP (kreator można zakończyć w momencie utworzenia
poprawnego wpisu.
• Dodaj użytkowników z serwera LDAP (ou=users,dc=bst-lab,dc=com) do grupy fct_users
(Najpierw należy zdefiniować nowy serwer LDAP w zakładce z dodawaniem nowego
użytkownika z serwera LDAP)
• Przeprowadź uwierzytelnianie do sieci przy użyciu danych logowania z serwera LDAP
• Sprawdź działanie uwierzytelniania logując się na urządzenie Fortinet przez ssh:
#ssh [email protected]
FGT# diag debug enable
FGT# diag debug reset
FGT# diag debug application fnbamd -1
FGT# diag debug enable
FGT# diag test authserver ldap <nazwa-serwera> <user> <pass>
3
Bezpieczeństwo Sieci Korporacyjnych 2015/2016
Temat Laboratorium: VPN SSL z uwierzytelnianiem LDAP
Prowadzący: Jarosław Białas
Dodatek
• W razie problemów z wyświetlaniem formularza (dodawanie nowego użytkownika LDAP):
Otwórz plik /usr/share/phpldapadmin/lib/TemplateRender.php
Zamień
$default = $this->getServer()->getValue(’appearance’,’password_hash’);
Na
$default = $this->getServer()->getValue(’appearance’,’password_hash_custom’);
• W razie problemów ze zmianą hasła dostępowego do serwera LDAP można je ustawić bez konieczności reinstalacji i/lub restartu serwera:
slappasswd # Generuje hash hasła
ldapmodify -Y EXTERNAL -H ldapi:///
dn: olcDatabase={1}hdb,cn=config
replace: olcRootPW
olcRootPW: XXX # Zamień XXX wygenerowanym hashem, wciśnij enter,Ctrl+D
Literatura
[1] J. Chowaniec, Metody świadczenia usług VPN, praca inżynierska pod kierunkiem dr inż. Piotra
Pacyny.
[2] P. Szubert, Implementacja usług z wykorzystaniem OpenLDAP, praca magisterska pod kierunkiem dr inż. Ireneusza Szcześniaka. http://www.kt.agh.edu.pl/~iszczesniak/dydaktyka/pd/
szubert.pdf
4