Instrukcja
Transkrypt
Instrukcja
Bezpieczeństwo Sieci Korporacyjnych 2015/2016 Temat Laboratorium: VPN SSL z uwierzytelnianiem LDAP Prowadzący: Jarosław Białas Wprowadzenie Celem tego laboratorium jest zapoznanie się z metodami zapewniania bezpieczeństwa sieci korzystając z rozwiązań VPN SSL z uwierzytelnianiem za pomocą serwera LDAP. Jako serwer VPN zostanie wykorzystane urządzenie FortiWifi40C firmy Fortigate. Jako serwer LDAP posłuży komputer z systemem Ubuntu oraz zainstalowanym serwerem LDAP. Wymagany sprzęt i oprogramowanie: • 3 komputery z systemem Linux (preferowany system to Ubuntu) • 1 urządzenie Fortinet z usługą VPN SSL (np: FortiWifi 40C) • Kable ethernetowe • Wymagane oprogramowanie: ◦ Apache, serwer FTP, serwer SSH, serwer LDAP, opcjonalnie - Network Manager. Plan przebiegu laboratorium: • Zapoznaj się z formatką raportu • Wysłuchaj wprowadzenia do laboratorium • Zaprojektuj sieć według wytycznych do laboratorium (wprowadzenie) • Połącz elementy sieci, sprawdź łączność • Skonfiguruj maszyny (Apache, serwer FTP, serwer SSH, serwer LDAP) • Sprawdź widoczność usług • Dodaj odpowiednie polityki ruchu sieciowego • Skonfiguruj portal VPN na urządzeniu FortiWifi i przeprowadź próbę uwierzytelniania przy użyciu wbudowanego użytkownika • Dodaj użytkowników uprawnionych do dostępu do sieci VPN z serwera LDAP, a następnie przeprowadź próbę ich uwierzytelniania • Oddaj wypełniony raport - warunek konieczny zaliczenia laboratorium. FortiWifi 40C, krótki opis urządzenia Platforma FortiWiFi-40C to urządzenie przeznaczone dla małych firm oraz niedużych oddziałów lokalnych wymagających pełnego zestawu funkcji ochronnych, charakterystycznych dla większych rozwiązań, w jednym małym urządzeniu. Zapewniają one kompleksową ochronę przeciwko szerokiej grupie współczesnych zagrożeń. Zalety rozwiązania: • Firewall, VPN, kształtowanie ruchu • Kontrola aplikacji • Intrusion Prevention System (IPS) • Antimalware • Antivirus • Antispam • Filtrowanie ruchu sieciowego 1 Bezpieczeństwo Sieci Korporacyjnych 2015/2016 Temat Laboratorium: VPN SSL z uwierzytelnianiem LDAP Prowadzący: Jarosław Białas Rysunek 1: Schemat ogólny połączenia z wykorzystaniem VPN i serwera LDAP Przebieg laboratorium 1. Wstępna konfiguracja środowiska testowego • Opracowanie schematu sieci (połączenia, numeracja urządzeń i portów, adresacja). Rysunek należy umieścić w raporcie. • Konfiguracja komputera z sieci zewnętrznej 1 • Konfiguracja komputerów z sieci wewnętrznej 1 • Połączenie komputerów za pomocą urządzenia Fortigate • Ściągawka do adresacji hostów w systemach Unix (zastąp ethX właściwą nazwą interfejsu): ◦ ip addr add 192.168.1.N/24 dev ethX ◦ ip link set dev ethX up 2. Konfiguracja hostów w sieci wewnętrznej • Instalacja paczek ◦ Dodaj repozytorium universe: sudo add-apt-repository "deb http://archive.ubuntu.com/ubuntu \ $(lsb_release -sc) universe" sudo apt-get update ◦ Instalacja paczek (wybierz potrzebne): sudo apt-get -y install slapd ldap-utils phpldapadmin ssh vsftpd • Konfiguracja serwera LDAP ◦ popraw konfigurację w plikach /etc/ldap/ldap.conf /etc/phpldapadmin/config.php ◦ Przeładowanie konfiguracji serwera LDAP: sudo dpkg-reconfigure slapd ◦ Restart serwera LDAP i apache: /etc/init.d/slapd restart /etc/init.d/apache2 restart ◦ Zaloguj się na serwer LDAP: http://192.168.1.X/phpldapadmin ◦ Dodaj nowe jednostki organizacyjne: users, groups 1 Adresacje można przeprowadzić przy użyciu Network Managera, albo przy użyciu linii poleceń (wtedy należy wyłączyć Network Managera, aby nie nadpisywał konfiguracji) 2 Bezpieczeństwo Sieci Korporacyjnych 2015/2016 Temat Laboratorium: VPN SSL z uwierzytelnianiem LDAP Prowadzący: Jarosław Białas ◦ Dodaj nową grupę cn=students,ou=groups,dc=bst-lab,dc=com ◦ Dodaj nowego użytkownika cn=johndoe,ou=users,dc=bst-lab,dc=com. • Konfiguracja serwera Apache, FTP, SSH ◦ Uruchom serwer: /etc/init.d/apache2 start /etc/init.d/vsftpd start /etc/init.d/ssh start 3. Konfiguracja urządzenia FortiWifi 40C, 3.1 Konfiguracja bazowa (https://192.168.1.99, l:admin p:<brak hasła>) • Adres interfejsu WAN1: 10.1.1.1, Manual • Adres interfejsu INTERNAL: 192.168.1.99, Manual • Dodaj nowego użytkownika, utwórz grupę fct_users i dodaj go do niej • Dodaj obiekt: sieć 192.168.1.0/24 na interfejsie INTERNAL, nazwij ją 192.168.1-network • Dodaj obiekt: grupę hostów 10.1.1.100-200, na interfejsie WAN1, nazwij ją fct_hosts • Dodaj obiekt: grupę work-group, dodaj do niej podsieć 192.168.1-network • Dodaj politykę pozwalającą na przepuszczenie ruchu użytkowników z grupy fct_users z hostów fct_hosts z interfejsu ssl.root do grupy work-group na interfejsie internal. Zezwól na pełne dostęp, włącz ochronę AV 3.2 VPN Portal • Skonfiguruj Portal VPN tak, żeby pozwalał na tunelowanie i był aktywny. Jako dozwolone hosty zaznacz grupę fct_hosts. Sprawdź numer portu na jakim działa usługa i w razie potrzeby zmień go tak żeby nie powodował konfliktów. • Sprawdź działanie portalu (https://10.1.1.1:NR_PORTU). • Dodaj do strony portalu z zakładkami do uruchomionych w sieci wewnętrznej usług. 3.3 LDAP • Dodaj serwer LDAP jako jedną z metod uwierzytelniania dla połączeń VPN - dodaj nowego użytkownika z serwera LDAP (kreator można zakończyć w momencie utworzenia poprawnego wpisu. • Dodaj użytkowników z serwera LDAP (ou=users,dc=bst-lab,dc=com) do grupy fct_users (Najpierw należy zdefiniować nowy serwer LDAP w zakładce z dodawaniem nowego użytkownika z serwera LDAP) • Przeprowadź uwierzytelnianie do sieci przy użyciu danych logowania z serwera LDAP • Sprawdź działanie uwierzytelniania logując się na urządzenie Fortinet przez ssh: #ssh [email protected] FGT# diag debug enable FGT# diag debug reset FGT# diag debug application fnbamd -1 FGT# diag debug enable FGT# diag test authserver ldap <nazwa-serwera> <user> <pass> 3 Bezpieczeństwo Sieci Korporacyjnych 2015/2016 Temat Laboratorium: VPN SSL z uwierzytelnianiem LDAP Prowadzący: Jarosław Białas Dodatek • W razie problemów z wyświetlaniem formularza (dodawanie nowego użytkownika LDAP): Otwórz plik /usr/share/phpldapadmin/lib/TemplateRender.php Zamień $default = $this->getServer()->getValue(’appearance’,’password_hash’); Na $default = $this->getServer()->getValue(’appearance’,’password_hash_custom’); • W razie problemów ze zmianą hasła dostępowego do serwera LDAP można je ustawić bez konieczności reinstalacji i/lub restartu serwera: slappasswd # Generuje hash hasła ldapmodify -Y EXTERNAL -H ldapi:/// dn: olcDatabase={1}hdb,cn=config replace: olcRootPW olcRootPW: XXX # Zamień XXX wygenerowanym hashem, wciśnij enter,Ctrl+D Literatura [1] J. Chowaniec, Metody świadczenia usług VPN, praca inżynierska pod kierunkiem dr inż. Piotra Pacyny. [2] P. Szubert, Implementacja usług z wykorzystaniem OpenLDAP, praca magisterska pod kierunkiem dr inż. Ireneusza Szcześniaka. http://www.kt.agh.edu.pl/~iszczesniak/dydaktyka/pd/ szubert.pdf 4