Rutoken EDS का उपयोग करके OpenVPN में प्रमाणीकरण

ओपन वीपीएन एक क्रॉस-प्लेटफॉर्म है, जो वीपीएन के आयोजन के लिए लचीला और सुविधाजनक समाधान है। OpenVPN के आधार पर निर्मित वर्चुअल नेटवर्क में प्रवेश के लिए, क्लाइंट को लॉग इन करना होगा। OpenVPN में, इसे 3 तरीकों से किया जा सकता है:

• लॉगिन और पासवर्ड द्वारा
• फ़ाइलों में कुंजी और प्रमाण पत्र द्वारा
• क्रिप्टोग्राफिक यूएसबी टोकन या स्मार्ट कार्ड के "बोर्ड" पर कुंजी और प्रमाण पत्र द्वारा

बाद की विधि सबसे सुरक्षित है। विषय OpenVPN में एक क्रिप्टोग्राफिक यूएसबी टोकन रॉटोकन ईडीएस का उपयोग करके प्राधिकरण का वर्णन करेगा। रुतोकन ईडीएस अनधिकृत पहुंच से पिन कोड द्वारा मज़बूती से संरक्षित है और पिन कोड दर्ज करने के सभी प्रयास समाप्त हो जाने पर अवरुद्ध हो जाता है, इसलिए टोकन चोरी होने पर भी कोई हमलावर वीपीएन में नहीं जाएगा। इसके अलावा, GOST और RSA एल्गोरिदम रुतोकन ईडीएस में लागू हार्डवेयर हैं, इसलिए टोकन पर "बोर्ड पर" प्रमाणीकरण किया जाता है। इसके लिए धन्यवाद, निजी कुंजी कभी भी टोकन नहीं छोड़ती है और ट्रोजन का उपयोग करके कंप्यूटर की रैम से इसे चोरी करना असंभव है।

विषय दिखाएगा कि एक परीक्षण वीपीएन कैसे तैनात किया जाए, साथ ही ओपन सोर्स एक्ससीए एप्लिकेशन के आधार पर एक कॉर्पोरेट सीए भी। CA का उपयोग करते हुए, OpenVPN सर्वर की कुंजी और प्रमाण पत्र बनाया जाएगा और क्लाइंट टोकन को आरंभीकृत किया जाएगा। फिर हम ओपनवीपीएन क्लाइंट को कॉन्फ़िगर करते हैं ताकि उपयोगकर्ता रूटोकेन ईडीएस का उपयोग करके ओपनवीपीएन में लॉग इन कर सके।


मैं Ubuntu 11.10 पर OpenVPN सर्वर और XCA बढ़ाऊंगा।

सीए सेटअप

सबसे पहले, रुतोकन ईडीएस के संचालन के लिए आवश्यक सिस्टम घटक स्थापित करें:

• CCID ड्राइवर
  

  sudo apt-get install libccid 

  
  
• पीसी / एससी
  

   sudo apt-get install libpcsclite1 pcscd 

XCA स्थापित करें:

 sudo apt-get install xca 

XCA चलाएं:

 sudo xca 

आपको एक नया डेटाबेस बनाना चाहिए फ़ाइल-> नया डेटाबेस।

CA कुंजी बनाएं: निजी कुंजी-> नई कुंजी, newcakey, RSA, 1024।
CA प्रमाणपत्र बनाएं:






एक OpenVPN सर्वर कुंजी बनाएँ: निजी कुंजी-> नई कुंजी, नया पर्यवेक्षक, RSA, 1024।
OpenVPN सर्वर प्रमाणपत्र बनाएँ:




महत्वपूर्ण! OpenVPN सर्वर प्रमाणपत्र में एक विशेष एक्सटेंशन होना चाहिए (ExtendedKeyUsage - serverAuth)


हम CA प्रमाणपत्र को ca.crt फ़ाइल, सर्वर कुंजी को server.key फ़ाइल और सर्वर प्रमाणपत्र को server.crt फ़ाइल में निर्यात करते हैं ताकि उन्हें OpenVPN सर्वर (निजी कुंजी-> निर्यात, प्रमाणपत्र- निर्यात) में खिसकाया जा सके।

OpenVPN सर्वर को कॉन्फ़िगर करना

Openvpn स्थापित करें:

 sudo apt-get install openvpn 

पैरामीटर DX के साथ एक फ़ाइल बनाएँ:

  openssl dhparam -out dh1024.pem 1024 

टेस्ट OpenVPN सर्वर कॉन्फिग (ATTENTION! सर्वर कॉन्फिगरेशन केवल प्रदर्शन उद्देश्यों के लिए है, इसे अपने सर्वर के आधार के रूप में न लें:

 port 1194 proto tcp dev tap ca /home/vic/Desktop/ca.crt cert /home/vic/Desktop/server.crt key /home/vic/Desktop/server.key dh /home/vic/Desktop/dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt keepalive 10 120 cipher BF-CBC comp-lzo persist-key persist-tun status openvpn-status.log verb 3 

OpenVPN सर्वर चलाएँ

 sudo openvpn --config /home/vic/Desktop/demo.ovpn 

यह स्पष्ट है कि एक कॉनफिगरेशन कॉन्फ़िगरेशन में सर्वर डेमॉन के रूप में शुरू होगा और चाबियाँ / प्रमाण पत्र घर में नहीं होंगे।

एक ग्राहक के रूटोकेन ईडीएस की शुरूआत

अब हम शुरू कर सकते हैं कि सब कुछ क्या था - वीपीएन में क्लाइंट को अधिकृत करने के लिए रूटोकेन डिजिटल हस्ताक्षर का आरंभीकरण।

XCA को टोकन के साथ कैसे काम करना है, यह जानने के लिए, उसे इस टोकन का PKCS # 11 पुस्तकालय दिया जाना चाहिए। रूटोकैन ईडीएस के लिए आरएसए समर्थन वाले लिनक्स के लिए पीकेसीएस # 11 पुस्तकालय यहां डाउनलोड किया जा सकता है

तो फ़ाइल-> विकल्प


चेतावनी! यदि आपने रूटोकैन ईडीएस का उपयोग करते हुए प्रारूपित किया है, उदाहरण के लिए, ओपनएससी उपयोगिताओं, तो रुतोकन ईडीएस शुरू करने से पहले नियंत्रण कक्ष के माध्यम से विंडोज के तहत स्वरूपित किया जाना चाहिए-> रूतोकन नियंत्रण कक्ष

सबसे पहले आप पिन बदल सकते हैं, टोकन-> पिन बदलें।

आरएसए कुंजी "बोर्ड पर" रुतोकन ईडीएस बनाएं:
निजी कुंजी-> नई कुंजी

में नाम, newclientkey दर्ज करें। अनुरोध करने पर, सही पिन दर्ज करें।

अब हम ग्राहक को एक प्रमाणपत्र जारी करते हैं, जिसके साथ वह OpenVPN में लॉग इन कर सकता है और इस प्रमाणपत्र को रूटोकेन ईडीएस में लिख सकता है:





महत्वपूर्ण! OpenVPN क्लाइंट प्रमाणपत्र में एक विशेष एक्सटेंशन होना चाहिए (ExtendedKeyUsage - clientAuth)


XCA टोकन के लिए प्रमाण पत्र रखने की पेशकश करेगा, आपको सहमत होना चाहिए।

OpenVPN क्लाइंट कॉन्फ़िगरेशन

मेरे पास एक उपयोगकर्ता वर्कस्टेशन है - विंडोज 7. चूंकि रुतोकेन ईडीएस एक मानक सीसीआईडी ​​ड्राइवर के माध्यम से काम करता है, इसलिए आपको विंडोज 7 (आपको एक्सपी पर ज़रूरत है) पर इसके ड्राइवर को स्थापित करने की आवश्यकता नहीं है।

मैंने Windows OpenVPN स्थापित किया और टूट गया। यह पता चला है कि Openvpn.exe को PKCS # 11 के माध्यम से टोकन को जोड़ने के लिए तंत्र के समर्थन के बिना विंडोज के तहत एकत्र किया गया है। लेकिन मुझे सही openvpn.exe मिला। इसे ओपनएससी परियोजना की वेबसाइट www.opensc-project.org/downloads/users/alonbl/build , लेखन के समय शीर्ष से तीसरा संग्रह से डाउनलोड किया जा सकता है। संग्रह खोलना और Openvpn स्थापना फ़ोल्डर में फ़ाइलों को बदलना।

ग्राहक विन्यास:

 client dev tap proto tcp remote xxx.xxx.xxx.xxx 1194 resolv-retry infinite nobind persist-key persist-tun ca c:/Users/vic/Desktop/openvpn/ca.crt pkcs11-providers c:/Users/vic/Desktop/openvpn/rtPKCS11ECP.dll pkcs11-id 'Aktiv\x20Co\x2E/Rutoken\x20ECP/2ab17cca/Rutoken\x20ECP\x20\x3Cno\x20label\x3E/2C84962D1AF5792A' pkcs11-pin-cache 300 comp-lzo verb 3 

Pkcs11- प्रदाताओं के पैरामीटर में, PKCS # 11 लाइब्रेरी रुटोकन ईडीएस के लिए पथ निर्दिष्ट करें (RSA समर्थन के साथ विंडोज के लिए पुस्तकालय डाउनलोड के लिए उपलब्ध है )।

Pkcs11-id पैरामीटर में, आपको कंटेनर ID का मान निर्दिष्ट करना चाहिए जिसमें कुंजी और उपयोगकर्ता प्रमाणपत्र Rutoken EDS पर संग्रहीत हैं। यह आईडी कमांड का उपयोग करके प्राप्त की जा सकती है:

 openvpn --show-pkcs11-ids [   PKCS#11  ] 

टोकन के आरंभीकरण के दौरान ऐसा करना अधिक सुविधाजनक है, और उपयोगकर्ता को रेडीमेड कॉन्फिगरेशन, सीए सर्टिफिकेट, टोकन और टोकन पिन दिया जाना चाहिए।

एक वीपीएन कनेक्शन स्थापित करें। ऐसा करने के लिए, रूटोकन ईडीएस को कनेक्ट करें, कमांड लाइन में व्यवस्थापक अधिकारों के साथ चलाएं:

 openvpn --config [   ] 

अनुरोध पर अपना पिन दर्ज करें।

कनेक्शन स्थापित होने के बाद, मैं वर्चुअल नेटवर्क के 10.8.0.1 पर सर्वर को पिंग करने में सक्षम था।