BLACKHOLE.sk

V tejto časti si ukážeme skripty, ktoré nám umožnia spútať obrovskú silu, ktorou OpenVPN disponuje. Oproti prvej časti v nej nájdete menej beletrie a viac konkrétnych technických informácií.

V prvej časti sme si ukázali, ako rozložiť záťaž medzi viac procesov a zabezpečiť, aby sa klient dokázal pripojiť aj z veľmi reštriktívnych podmienok. Druhá časť bude zameraná na samotné ovládanie správania OpenVPN servera pomocou jednoduchých skriptov napísaných v bashi. Keďže skripty sú pomerne rozsiahle a niektoré funkcie v nich obstarávajú rutinné záležitosti, prípadne sú zduplikované, v texte budú vynechané. Na konci článku nájdete odkaz na stiahnutie balíčka s plnými verziami skriptov a taktiež s ukážkovým konfiguračným súborom, ktorý budem používať na demonštráciu.

Minule sme zaviedli niekoľko podmienok, ktoré na systém kladieme a prvé dve sme vyriešili. Zvyšné už nebudem preberať osobitne, ale spojím ich do jednej konkrétnej situácie, kvôli ktorej som vlastne celé toto nasadenie riešil. Ide o telefónny server (SIP – Asterisk), ktorý navyše slúži aj na jednoduchú výmenu súborov (Samba a FTP) a streamovanie obrazu a zvuku. Používatelia sa chcú na neho pripájať šifrovane, pričom ide o nasledujúce zariadenia:

• Notebooky a desktopy s MS Windows od XP po 7 (originálny OpenVPN klient)
• Macbooky s Mac OS X (Tunnelblick)
• Notebooky s GNU/Linuxom – Debian, CentOS a iné (softvér z repozitárov)
• Celé siete skryté za rôznymi OpenWRT routrami (softvér z repozitára OpenWRT)
• Rôzne iOS zariadenia – iPhone, iPad a aj iPod (softvér z cydie)

Pripájanie nových klientov ide skoro úplne mimo mňa, takže generovanie certifikátov neprichádza v úvahu. Taktiež nie je možné akokoľvek upravovať softvér, ktorý používajú. Celé to teda musí fungovať jednoducho, so softvérom, ktorý je bežne k dispozícii. Proces inštalácie spočíva len v nainštalovaní softvéru, nakopírovaní zopár súborov a možno vygenerovaní vhodného loginu a hesla, no aj to vždy priamo na klientskom zariadení. Na server nie je potrebné vôbec siahať a nič v ňom kvôli novým klientom nastavovať.

Tieto podmienky dosť sťažujú identifikáciu jednotlivých klientov. Všetci sa totiž pripájajú rovnakým certifikátom. Tu je možno dobré sa na chvíľu zastaviť a podotknúť, že situácia, kedy viac klientov má ten istý certifikát (alebo akékoľvek autentizačné údaje) neznižuje bezpečnosť jednotlivých pripojení. OpenVPN využíva SSL, ktoré si pre každé jedno spojenie vytvára úplne nezávislé kľúče a teda klienti nemajú možnosť navzájom si odpočúvať a dešifrovať komunikáciu keď je už raz nadviazaná. Jediný problém je len pri samotnej prvotnej autentizácii sa serveru, ak by sme chceli klientovi prideliť jedinečnú IP adresu alebo mu umožniť nejaký exkluzívny prístup k zdrojom. Našim cieľom je však zabezpečiť pripojenie proti odpočúvaniu, čo je splnené. Na SIP a iné služby sa klient autentizuje dodatočne, už cez šifrované pripojenie. Hlavné nebezpečenstvo vzniká len vtedy, ak sa jeden klient nečakane odpojí a druhý následne získa jeho IP adresu VPN zakončenia. Tomu ale dokážeme zabrániť.

OpenVPN okrem certifikátu podporuje ďalšie formy autentizácie. Pre nás zaujímavou bude autentizácia pomocou loginu a hesla. Túto formu podporuje každá verzia klienta, no mnohé odmietajú prečítať údaje zo súboru a vyžadujú ich zadanie používateľom. Záleží to od toho, ako bol softvér skompilovaný, keďže toto chovanie ovplyvňuje jediná direktíva v hlavičkovom súbore. Originálny softvér pre Windows načítanie loginu a hesla zo súboru neumožňuje, no napríklad ten v OpenWRT áno. Ako som spomínal, rekompilácia neprichádza v úvahu, musíme si teda vystačiť s tým, čo máme už hotové. Preto som pre naše nasadenie počítal s tým, že niektorí klienti sa budú hlásiť jedinečným loginom a heslo a iní nie. Mojim cieľom bolo to, že ak niekto login pošle, nech dostane stále tú istú IP adresu a ak nepošle, nech dostane IP adresu, ktorú už veľmi dávno nikto iný nepoužil a nemá ju rezervovanú ani jeden z loginových klientov. K tomuto správaniu sa ešte vrátim pri komentovaní samotných skriptov.

Ako som už spomínal, klientov môže byť veľmi veľa. Výber vhodnej topológie bol teda jednoduchý. OpenVPN ponúka momentálne tri:

• net30 – kde každý klient má vyhradenú podsieť /30, obsadí teda až 4 IP adresy
• p2p – dnes už zastaralá, navyše nefungujúca na Windows klientoch
• subnet – každý klient má jednu IP adresu z podsiete, jediná vhodná voľba

Problém s topológiou subnet však nastáva pri starších klientoch. Žiaľ, niektorí ľudia majú z rôznych nepochopiteľných dôvodov stále OpenVPN verzie 2.0.X, ktorý túto topológiu nepodporoval. Konečná voľba preto bola použítie tap miesto tun, teda vytvorenie tunela na druhej vrstve OSI miesto tretej. Nevýhodou je, že po takomto tuneli behá príliš veľa bordelu (rôzne broadcasty), no pri našom použití si s tým nakoniec aj tak poradíme.

Poďme teda na praktickú ukážku. Keďže mojou filozofiou je robiť veci ľahko a rýchlo nasaditeľné, pripravil som si dva skripty, ktoré sa postarajú o všetko potrebné. Navyše, aby som nemusel do týchto skriptov zasahovať, všetky parametre čítajú z konfiguračného súboru, ktorý vyzerá nasledovne:

Poďme si prejsť jednotlivé parametre.

• lockfile – určuje umiestnenie „uzamykacieho“ súboru, ktorý zabezpečuje to, aby skript nebežal súčasne viackrát
• datadir – adresár, ktorý bude obsahovať súbory s aktuálnym stavom jednotlivých OpenVPN serverov a zároveň zoznam klientov, ktorí sa hlásia loginom a heslom
• logdir – adresár, kam budú ukladané logy
• configdir – adresár, kam sa majú vygenerovať konfiguračné súbory pre OpenVPN
• suffix – identifikátor, ktorý bude pridaný ku konfiguračným súborom
• ip_start, ip_end a ip_mask – rozsah IP adries, ktoré sa budú prideľovať jednotlivým klientom
• port_begin, port_num, protos – port, od ktorého budú číslované počúvajúce OpenVPN serverové procesy, počet paralelne bežiacich serverov na jednom protokole a zoznam protokolov, na ktorých majú počúvať
• fw_ports – zoznam jednotlivých portov, v tvare PORT/PROTOKOL
• fw_file – súbor, do ktorého budú vygenerované pravidlá pre iptables
• if_name, if_ip – názov bridge rozhrania, ktoré sa má v systéme vytvoriť a IP adresa, ktorú mu treba prideliť
• local_if, local_ip, local_dns – lokálne rozhranie, na ktorom má byť OpenVPN server dostupný, jeho IP adresa a názov DNS

Toto sú všetky parametre, ktoré potrebujete nastaviť. O všetko ostatné sa postarajú dva bash skripty, ktoré sa u mňa nazývajú /usr/local/bin/rapidvpn-admin.sh a /usr/local/bin/rapidvpn-script.sh. Prvý skript je zodpovedný za generovanie konfiguračných súborov pre OpenVPN a vytváranie pravidiel pre iptables, ten druhý je volaný priamo zo serverových procesov OpenVPN a stará sa o vybavenie klientov.

Poďme teda na ten prvý:
Zadefinujeme si zoznam konfiguračných premenných a taktiež zoznam pomocných premenných používaných skriptom

Ďalej nasleduje funkcia, ktorá generuje konfiguračný súbor pre OpenVPN pre konkrétny protokol a port
Samotný obsah konfiguračného súboru bude uvedený neskôr. Obsahoval premenné vo forme %názov%, ktoré nasledujúce riadky nahradia reálnymi hodnotami.
Funkcia, ktorý overí, či prvý parameter je naozaj legitímna IPv4 adresa.
Nasledujúca funkcia načíta obsah konfiguračného súboru, skontroluje, či sú v ňom naozaj všetky potrebné parametre. Ak sa názov niektorého parametru končí na dir, tak sa pokúsi tento adresár vytvoriť. Rovnako, ak sa niektorý parameter končí na _ip, tak skontroluje, či ide o legitímnu IPv4 adresu.
Ak bol skript zavolaný s parametrom install, vygeneruje konfiguračné súbory a skončí.
Ak bol skript zavolaný s parametrom firewall, vygeneruje pravidlá pre iptables, ktoré boli spomínané v prvej časti.
Toto bol celý skript. Po jeho zavolaní s parametrom install máme v adresári configdir vygenerované konfiguračné súbory. Pozrime si jeden, hneď prvý:
Niektorým sa môže zdať, že v tomto konfiguračnom súbore chýba direktíva server, po ktorej väčšinou nasleduje lokálna IP adresa rozhrania a maska. Táto direktíva je ale iba alias pre celú štrúdľu príkazov, ktoré si môžete pozrieť v manuáli. My z týchto príkazov využijeme len dva nasledujúce. Chýbať bude hlavne ifconfig, ktorý definuje adresu lokálneho rozhrania. Dosiahneme tak, že rozhranie vytvorené serverom (v tomto prípade tap5131) zostane bez adresy a bude v stave down.
Keďže klienti budú mať rovnaký certifikát a autentizovať sa budú maximálne loginom a heslom, určíme, aby login bol použítý ako názov pre klienta. Samozrejme, nie všetci budú tieto informácie posielať, preto ich nebudeme vyžadovať.
Aktuálny stav sa bude ukladať do datadir, pričom použijeme verziu výpisu s číslom 2. Je totiž dobre spracovateľná z bash skriptu.
Mnohé z akcií bude „odobrovať“ náš druhý skript. Bezpečnosť skriptov musí byť nastavená na úroveň 3 kvôli tomu, aby OpenVPN odovzdalo všetky parametre skriptu cez environment. Táto úroveň umožňuje nastaviť úplne všetky parametre do prostredia, vrátane hesla. Nižšie úrovne to neumožňujú.

Skript sa bude volať pri nasledúcich udalostiach:

• up – spustí sa pri štarte OpenVPN servera, po vytvorení rozhrania
• down-pre – spustí sa pri vypínaní OpenVPN, tesne predtým, ako sa zhodí rozhranie
• client-connect – spustí sa pri pripájaní klienta, po tom, ako sa úspešne autentizuje
• client-disconnect – spustí sa pri odpájaní klienta, či už vyžiadanom, alebo po timeoute
• auth-user-pass-verify – spustí sa pri pokuse klienta o autentizáciu

Ďalej nasledujú už len skopírované parametre z konfiguračného súboru. Všetky budú taktiež vložené do prostredia skriptu, pričom k nim bude pridaný prefix OPENVPN_.

Takýchto súborov bolo vygenerovaných osem. Štyri pre UDP a štyri pre TCP. Všetky volajú skript /usr/local/bin/rapidvpn-script.sh, v ktorom sa vykonáva skoro všetka mágia. Poďme sa teda do neho pustiť:
Niektorí klienti sa pripájajú s loginom a heslo, niektorí nie. Tých druhých teda nevieme od seba nijako efektívne odlíšiť. Aby sa nestalo to, že niekomu pridelíme adresu, ktorú pred krátkym časom používal niekto iný, budeme si pamätať adresu naposledy použitú a každému novému klientovi jednoducho pridelíme ďalšiu v poradí. Ak sa dostaneme na koniec, začneme opäť od začiatku. Ak budeme mať dosť veľký rozsah (napríklad /16), môžeme predpokladať, že pri stovkách klientov bude trvať dostatočne dlho, kým sa pretočíme.
Predtým, ako môžeme vygenerovanú adresu skutočne niekomu prideliť, potrebujeme skontrolovať, či nie je momentálne používaná. Prezrieme teda stavové súbory, ktoré generujú jednotlivé serverové procesy. Medzi nimi je zamiešaný aj súbor obsahujúci trvalé rezervácie pre klientov používajúcich login a heslo. Preto automaticky týmto krokom vyradíme aj tieto.
Keďže si skript medzi jednotlivými spusteniami musí zapamätať naposledy pridelenú IP adresu, ukladá si ju do súboru. Ak tento súbor neexistuje, začne hneď prvou adresou určenou v konfiguračnom súbore. Následne skúša generovať nové adresy a skončí, ak nájde prvú nepoužívanú. Táto časť kódu nie je napísaná veľmi optimálne, no v reálnom nasadení to vždy bežalo dostatočne rýchlo a preto som nemal zatiaľ dôvod to zlepšovať.
Ak sa klient autentizuje loginom a heslom, musíme sa pokúsiť nájsť jeho rezerváciu. Ak je prvým parametrom tejto funkcie reťazec checkpass, overuje sa aj zhodnosť hesla, inak sa vyhľadá len záznam podľa loginu.
Nastavíme názvy súborov, v ktorých máme uloženú naposledy použitú IPv4 adresu a zoznam rezervácií.
Môže sa ľahko stať, že sa pokúsi súčasne prihlásiť viac klientov. Mnohí ľudia zvyknú zanedbávať túto možnosť, či už programujú normálne programy alebo web stránky. Ale ako sa hovorí, náhoda je sviňa a už aj pri zopár klientoch sa mi stalo, že sa proste pripojili skoro súčasne. Preto sa postaráme o to, aby skript nebežal viackrát súčasne. Ak sa nám podarí úspešne získať zámok, rovno si chytíme aj niektoré signály, konkrétne INT, TERM a EXIT, aby sme pri skončení vždy naisto vymazali súbor so zámkom. Vždy pri ukončení skriptu sa teda zavolá funkcia run_trap, ktorá bola definovaná úplne na začiatku.
Server OpenVPN oznámi spustenému skriptu, o akú udalosť sa jedná pomocou premennej script_type. Ako prvú teda vybavíme udalosť up.
Najprv skontrolujeme, či je vytvorený bridge a ak nie je, tak ho vytvoríme a priradíme mu IPv4 adresu. Pri písaní som predpokladal, že skript je spustený s potrebnými právami a taktiež sú k dispozícii všetky potrebné binárky. Tieto veci sú špecifické pre každý systém.
Ďalej zobudíme OpenVPN rozhranie a priložíme ho do bridge-u.
Pri vypínaní iba odoberieme rozhranie z bridge-u.
Pri pripájaní nového klienta (toto prebieha už po autentizácii) je skriptu predaný ešte jeden parameter, názov súboru, kam treba uložiť konfiguráciu pre klienta. Ak ste niekedy používali OpenVPN tak, že pre každého klienta ste vytvárali súbor z CN jeho certifikátu v ccd adresári, ide o to isté. Klientovi takto môžeme prideliť konkrétnu IP adresu a push-núť rôzne parametre.
Ak klient poskytol login, rovno mu pridelíme adresu, ktorú má uloženú v jeho rezervácii.
Ak je to klient bez loginu, nájdeme nasledujúcu nepoužitú IPv4 adresu, pridelíme mu ju a zároveň si ju poznačíme do súboru ako naposledy použitú.
Pri odpájaní klienta momentálne nespravíme nič. Môžete si sem pridať nejakú akciu, napríklad vygenerovanie nejakého eventu, zapísanie do logu a iné.
Posledná činnosť, ktorú musíme ošetriť, je autentizácia. Tá sa zavolá vždy, aj v prípade, že klient neposiela login a heslo.
Ak predsa len nejaký login poslal, overíme, či už existuje v zozname. Zároveň overujeme aj heslo. Ak napríklad niekto pošle existujúci login, ale heslo je nesprávne, je žiadúce, aby bol takýto klient rovno odmietnutý. Ak však ešte v zozname nefiguruje, nájdeme pre neho najbližšiu nepoužitú IPv4 adresu a do zoznamu ho pridáme. Týmto zabezpečíme, že každý klient si môže sám určiť login a heslo a od tohto momentu bude dostávať stále tú istú adresu. My však nemusíme robiť nič na strane servera.
Je nutné ešte poznamenať, že ak tento skript skončí s návratovou hodnotou inou než 0, server OpenVPN to bude považovať za chybu. Pri autentizácii a pripájaní odmietne a odpojí klienta. Týmto spôsobom teda môžeme určovať, kto sa môže pripojiť a kto nie.

Poďme si teda všetko zhrnúť. Po spustení príkazu prvého skriptu budú vytvorené konfigurácie:

Po spustení servisu OpenVPN vznikne niekoľko rozhraní a jeden bridge:
pričom tieto tap rozhrania sú všetky zapojené do bridge-u:

Potrebujeme ešte vytvoriť konfiguračný súbor pre klienta, ktorý môže vyzerať nasledovne:

Do súboru demo-vpn/userpass.txt je potrebné uložiť dva riadky, prvý obsahujúci login a druhý heslo. Ak sa v logu následne objaví hláška
tak vieme, že si musíme vystačiť bez autentizácie a príslušný riadok v konfiguračnom súbore zakomentovať (alebo vymazať).

Po úspešnom prihlásení dostane v našom prípade prvý klient IP adresu 172.16.1.1, druhý 172.16.1.2, a tak ďalej. Ak sa prihlási niekto s loginom a heslom, jeho údaje sa zapíšu do súboru a v budúcnosti dostane opäť tú istú adresu.

Keďže ide o bridge, všetci klienti budú vidieť mnohé rámce vysielane broadcastom, napríklad arp requesty. Ak to chceme zamedziť, môžeme použiť ebtables. Komunikácia na tretej a vyššej vrstve však už nepôjde priamo cez bridge, ale príde z daného rozhrania do systému, ktorý sa o jej preposielanie musí postarať. Ak teda chceme povoliť komunikáciu medzi pripojenými klientmi, musíme povoliť routovanie a vo firewalle nastaviť FORWARD so vstupom i výstupom na tomto jednom bridge rozhraní. Takto vieme všetko pekne filtrovať podľa potreby.

Samozrejme, s týmto sa dajú robiť ďalšie pekné veci. Zapájať do bridge-u ďalšie tunely na vzdialené servery, hrať sa s rôznymi formami autentizácie, vyvolávať rôzne eventy a veľa veľa iných zaujímavých vecí. To už ale nechám na vás. Fantázii sa medze nekladú.

Dúfam, že vás tento blog inšpiroval k hraniu sa s OpenVPN a jeho širokému nasadzovaniu kde sa len dá. Ak máte akékoľvek otázky, vložte ich do diskusie pod túto druhú časť. Ak by ste mali záujem o nasadenie OpenVPN vo vašej firme, viete, na koho sa treba obrátiť :)

Doležité odkazy:

• OpenVPN Community Software
• Balík s použitými skriptami
• Tunnelblick - OpenVPN GUI pre Mac OS X