Portal autoryzacji – autoryzacja SSL

Posted by pawel in CAPTIVE PORTAL, PKI, SSL, SSL VPN
YouTube video player

NETASQ UTM daje możliwość autoryzacji użytkowników w oparciu o certyfikat SSL. Funkcjonalność ta może znaleźć zastosowanie chociażby w sytuacji gdy chcemy udostępnić na zewnątrz zasoby z sieci wewnętrznej np. serwis WWW dla naszych klientów lub dostęp do RDP dla pracowników  a z różnych powodów autoryzacja certyfikatem jest dla nas bardziej odpowiednia niż standardowa autoryzacja za pomocą hasła. Najlepszym miejscem przechowywania certyfikatu jest token kryptograficzny lub karta smartcard.

W artykule opiszę jak zrealizować taki scenariusz z wykorzystaniem tokena eToken PRO firmy SafeNet.

ssl_vpn

W przedstawionym przykładzie wykorzystamy:

  • wewnętrzną bazę LDAP
  • wewnętrzne PKI
  • funkcjonalność SSL VPN
  • oprogramowanie SafeNet Authentication Client (SAC)

 

Wewnętrzny LDAP

Powołujemy wewnętrzną bazę LDAP:

ldap_ssl

 

Wewnętrzne PKI

Powołujemy urząd certyfikacji CA:

pki_ssl

 

Użytkownicy

Tworzymy użytkownika (użytkowników) którzy będą autoryzowania za pomocą certyfikatu w Portalu autoryzacji. Oraz dla każdego użytkownika generujemy certyfikat PKI (zakładka CERTYFIKAT/Wygeneruj certyfikat).

user_ssl

Tworzymy grupę użytkowników i dodajemy do niej utworzonych użytkowników:

usergroup_ssl

 

Konfiguracja Portalu autoryzacji

Dodajemy SSL jako dostępną metodę autoryzacji:

cp1_ssl

Dla metody SSL wskazujemy urząd certyfikacji (CA) który może wystawiać certyfikaty dla metody:

cp1_1_ssl

Określamy metodę uwierzytelnienia SSL dla grupy na interfejsie zewnętrznym:

cp2_ssl

Włączamy portal autoryzacji na interfejsie zewnętrznym:

cp3_ssl

 

SSL VPN

Włączamy funkcjonalność serwera SSL VPN. Ponieważ w przykładzie zakładamy wykorzystanie jedynie połączenia na zdalny pulpi (RDP) jako typ serwera wybieramy Serwer aplikacyjny:

sslvpn1_ssl

Konfigurujemy parametry dla serwera SSL VPN:

sslvpn2_ssl

Ponieważ w przyszłości możemy potrzebować różnych konfiguracji dla różnych użytkowników definiujemy profil SSL VPN:

sslvpn3_ssl

 

Polityki dostępu

Domyślnie polityki dostępu zabraniają dostępu zdalnego:

politics1_ssl

Zezwalamy na nawiązywanie połączeń SSL VPN dla zdefiniowanej grupy użytkowników:

politics2_ssl

 

Firewall

W konfiguracji zapory sieciowej musimy dodać regułę zezwalającą na połączenia HTTPS do interfejsu zewnętrznego NETASQ-a:

fw_ssl

 

Pobieranie certyfikatów

Wygenerowane certyfikaty użytkowników należy wyeksportować do plików w formacie kontenera P12:

cert_ssl

Przy eksporcie certyfikatu podajemy hasło chroniące dostęp do kontenera P12. Hasło to będziemy musieli podać przy imporcie certyfikatu na token.

 

SafeNet Authentication Client

SAC to oprogramowanie do zarządzania tokenem, jego zawartością jak i dostarczające składniki do obsługi tokena przez aplikacje. Po zainstalowaniu SAC w pasku zadań wskazujemy ikonę aplikacji i prawym klawiszem myszy rozwijamy menu. Wybieramy pozycję Narzędzia:

sac1_ssl

Ukazuje nam się główne okno aplikacji:

sac2_ssl

Podłączamy token eToken do portu USB komputera. Poz zainstalowaniu sterowników USB dla tokena otrzymujemy informację o konieczności zmiany domyślnego hasła (hasło domyślne to 1234567890):

sac3_ssl

Klikamy Anuluj i przechodzimy do Widoku zaawansowanego:

sac4_ssl

Ustalamy polityki bezpieczeństwa hasłem oraz pozostałe opcje klienta. Podane poniżej ustawienia należy traktować jednie jako przykład ustawień:

sac5_ssl

sac6_ssl

 

Inicjujemy token z nowymi parametrami:

sac7_ssl

Możemy ustanowić indywidualną nazwę dla tokena. Nadajemy hasło (np. pin) dla użytkownika oraz hasło administracyjne (będziemy mogli np. odblokować token jeżeli użytkownik przekroczy dopuszczalną liczbę błędnych logowań do tokena). Wybieramy polecenie Rozpocznij:

sac8_ssl

Importujemy zapisany w kontenerze P12 certyfikat użytkownika:

sac9_ssl

Jeżeli po wybraniu opcji Importu certyfikatu dostajemy monit o hasło do tokena, podajemy ustawiony przy inicjacji PIN użytkownika a następnie wskazujemy plik z certyfikatem:

sac10_ssl

Po wybraniu pliku kontenera otrzymujemy monit o hasło chroniące zawartość kontenera (ustaliliśmy to hasło w momencie zapisywania certyfikatu do pliku P12 w PKI NETASQ-a):

sac11_ssl

Po chwili certyfikaty zostaną umieszczony na tokenie (klucz prywatny użytkownika, klucz publiczny użytkownika, klucz publiczny CA):

sac12_ssl

 

Demonstracja działania konfiguracji

Przeprowadziłem testy z tokenem (karta smartcard formatu SIM z czytnikiem HID 6121) ACOS5 64k oraz oprogramowaniem ACS ACOS5 64 ClientKit. Logowania przez SSL działa bez zarzutu a jest to rozwiązaniem znacznie tańsze niż SafeNet. Szczególnie różnica w cenie będzie odczuwalna przy większej liczbie tokenów (>5 sztuk).

Osoby zainteresowane rozwiązaniem proszę o kontakt mailowy.

- Paweł Grzelewski

16 Mar 2014


Najnowszy firmware SNS: 3.8.1 (Release Note)
Najnowszy firmware SNSv2: 2.13 (Release Note)