13. Secure Socket Layer (SSL) VPN 13.1 Einleitung Sie konfigurieren das Feature SSL VPN für den Zugriff eines Clients auf das Firmennetzwerk. Die UTM in der Zetrale stellt Zertifikate für die VPN Clients aus. Die Konfiguration, SSL Software und das Client Zertifikat können die User selbständig über das User Portal downloaden. Beim Verbindungsaufbau erhalten die Clients eine IP-Adresse, um auf das Zentralnetz zuzugreifen. 13.2 Voraussetzungen Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: Eine Firmware ab Version 1.90. Grundkonfiguration der UTM. Internet Zugang z.b. PPPoE. 13.3 Zertifikats Management Bevor Sie mit den Zertifikaten arbeiten, sollten Sie die aktuelle Uhrzeit in der UTM einstellen. Gehen Sie für eine Überprüfung der Uhrzeit in folgendes Menü: GUI System Management Global Settings Date & Time Seite - 1 -
13.3a Default X.500 Parameter Damit Sie nicht für jedes neue Zertifikat immer die Standard X.500 Parameter konfigurieren müssen, können Sie diese einmalig in der UTM hinterlegen. Gehen Sie für die Konfiguration in folgendes Menü: GUI Entities Certificates Defaults Folgende Punkte sind hier relevant: Country State/Region City/Locality Organisation Dept. / Org. Unit Valid Days Geben Sie das Ursprungsland ein. Bestimmen Sie eine Region. Tragen Sie eine Stadt ein. Hier steht der Name der Firma. Eine Abteilung der Firma. Standard Gültigkeitsdauer der Zertifikate. Als Country wählen Sie z.b. DE. Unter State/Region verwenden Sie z.b. Bayern. Bei City/Locality tragen Sie z.b. Nuernberg ein. Unter Organisation verwenden Sie z.b. Teldat. Als Dept. / Org. Unit verwenden Sie z.b. Training. Unter Valid Days tragen Sie z.b. 365 ein. Seite - 2 -
13.3b Zertifizierungsstelle anlegen Um Zertifikate ausstellen zu können, brauchen Sie eine Zertifizierungsstelle. Gehen Sie für die Konfiguration in folgendes Menü: GUI Entities Certificates Authorities New Folgende Punkte sind hier relevant: Name Type CRL Path CRL valid days Passphrase Confirm Die Bezeichnung der Zertifizierungsstelle. Art der Zertifizierungsstelle. Pfad zur Zertifikatssperrliste. Gültigkeitszeit der Zertifikatssperrliste. Ein Passwort zum Erstellen von Zertifikaten. Wiederholung des Passworts zum Erstellen von Zertifikaten. Unter Name verwenden Sie z.b. Teldat. Seite - 3 -
Den Type stellen Sie auf z.b. Local Certificate Authority. Als CRL Path geben Sie z.b. http://ca.teldat.de/ ein. Den Punkt CRL valid days setzen Sie auf z.b. 365. Bei Passphrase tragen Sie z.b. passwort ein. Bei Confirm tragen Sie z.b. passwort ein. Folgende Punkte sind hier relevant: Key Size Country / State / City / Organisation / OU / Common Name E-Mail Address Valid Days Die Zertifikatsschlüssellänge. Der Subjekt Name für das Zertifikat nach dem X.500 Standard. Der Subjekt Name für das Zertifikat nach dem X.500 Standard. Der Subjekt Name für das Zertifikat nach dem X.500 Standard. Die E-Mail Adresse. Die Gültigkeitszeit des Zertifikats. Die Key Size stellen Sie auf z.b. 1024 bit. Bei Country tragen Sie z.b. DE ein. Bei State tragen Sie z.b. Bayern ein. Bei City tragen Sie z.b. Nuernberg ein. Seite - 4 -
Bei Organisation tragen Sie z.b. Teldat ein. Bei OU tragen Sie z.b. Training ein. Bei Common Name tragen Sie z.b. ca ein. Als E-Mail Address verwenden Sie z.b. ca@teldat.de. Unter Valid Days schreiben Sie z.b. 3600. Bestätigen Sie ihre Eingaben mit OK. INFO Die Pflichtangaben bei der Erstellung der Zertifizierungsstelle sind: Name / CRL Path / CRL valid days / Country / Common Name / E-Mail Address / Valid Days. Wenn Sie die Default Parameter bereits Konfiguriert haben, werden diese in den vorgesehenen ern angezeigt. 13.3c Zertifikate ausstellen Erstellen Sie jetzt sowohl für die UTM ein eigenes Zertifikat, als auch für den Client ein Zertifikat. Gehen Sie für die Konfiguration des UTM Zertifikat in folgendes Menü: GUI Entities Certificates User Certs New Seite - 5 -
Folgende Punkte sind hier relevant: Name Type Root CA Passphrase Die Bezeichnung des Zertifikats. Art des auszustellenden Zertifikats. Die Zertifizierungsstelle die das Zertifikat signiert. Das CA Passwort zum Erstellen von Zertifikaten. Unter Name verwenden Sie z.b. UTM. Den Type stellen Sie auf z.b. Local Certificate. Den Punkt Root CA setzen Sie auf z.b. Teldat-CA. Bei Passphrase tragen Sie z.b. passwort ein. Folgende Punkte sind hier relevant: Key Size Country Common Name E-Mail Address Valid Days Die Zertifikatsschlüssellänge. Das Land zur Identifikation im Zertifikat. Der Name zur Identifikation im Zertifikat. Die E-Mail Adresse zur Identifikation im Zertifikat. Die Gültigkeitszeit des Zertifikats. Seite - 6 -
Die Key Size stellen Sie auf z.b. 1024 bit. Bei Common Name tragen Sie z.b. utm ein. Als E-Mail Address verwenden Sie z.b. utm@teldat.de. Unter Valid Days schreiben Sie z.b. 365. Bestätigen Sie ihre Eingaben mit OK. Erstellen Sie jetzt ein Zertifikat für den Client und verwenden Sie z.b. folgende Parameter: Unter Name verwenden Sie z.b. Client. Den Type stellen Sie auf z.b. Local Certificate. Den Punkt Root CA setzen Sie auf z.b. Teldat-CA. Bei Passphrase tragen Sie z.b. passwort ein. Die Key Size stellen Sie auf z.b. 1024 bit. Bei Common Name tragen Sie z.b. client ein. Als E-Mail Address verwenden Sie z.b. client@teldat.de. Unter Valid Days schreiben Sie z.b. 365. Bestätigen Sie ihre Eingaben mit OK. 13.4 Entities anlegen Erstellen Sie in folgendem Menü einen IP-Adressen Pool für die SSL Clients: GUI Entities Network Items New Seite - 7 -
Folgende Punkte sind hier relevant: Name Type IP Address Netmask Gibt den Namen des Objekts an. Bestimmt die Art des Netzwerk Objekts. Die IP-Adresse des Netzwerk Objekts. Die Subnetzmaske des Netzwerks. Als Namen wählen Sie z.b. SSL_Clients. Type stellen Sie auf: Network. Bei IP-Address tragen Sie die IP-Adresse ein z.b. 192.168.100.0. Unter Netmask tragen Sie z.b. 255.255.255.0 ein. Bestätigen Sie Ihre Eingaben mit OK. Für die Authentifizierung der SSL Verbindung müssen Sie Benutzer und Gruppen anlegen. Gehen Sie für die Konfiguration in folgendes Menü: GUI Entities Authentication User New Seite - 8 -
Folgende Punkte sind hier relevant: Name Password Confirm User Certificate Der Name des Benutzers. Das Passwort für den Benutzer. Die Bestätigung des Passworts. Weisen Sie dem Benutzer ein Zertifikat zu. Als Name tragen Sie z.b. ssl-user ein. Unter Password verwenden Sie z.b. passwort. Bei Confirm geben Sie z.b. passwort ein. Bestätigen Sie ihre Eingaben mit OK. Unter User Certificate wählen Sie z.b. Client aus. Gehen Sie für die Konfiguration einer Gruppe in folgendes Menü: GUI Entities Authentication User Groups New Seite - 9 -
Folgende Punkte sind hier relevant: Name Type Members Der Name der Benutzergruppe. Wählen Sie den Ort der Benutzer aus. Wählen Sie die Mitglieder der Gruppe aus. Als Name verwenden Sie z.b. ssl-users ein. Den Type stellen Sie auf z.b. Local User. Wählen Sie bei Members den Benutzer ssl-user und drücken Sie <<. Bestätigen Sie ihre Eingaben mit OK. 13.5 SSL VPN aktivieren Aktivieren und konfigurieren Sie in folgendem Menü SSL VPN: GUI VPN SSL-VPN Seite - 10 -
Folgende Punkte sind hier relevant: SSL-VPN Local Certificate Allowed Usergroup VPN Port Interface User IP-Pool Gateway Name/IP Aktivieren Sie den Dienst SSL-VPN. Wählen das Zertifikat der UTM aus. Wählen Sie die erlaubte Gruppe für die SSL Einwahl aus. Bestimmen Sie den SSL-VPN Port. Geben Sie das externe Internet Interface an. Wählen Sie den IP-Adressen Pool für die Clients aus. Dies ist die offizielle IP-Adresse der UTM. Bei SSL-VPN setzen Sie den Haken auf Enabled. Wählen Sie bei Local Certificate z.b. UTM aus. Die Allowed Usergroup setzen Sie auf z.b. ssl-users. Den VPN-Port lassen Sie auf z.b. 1194. Unter Interface wählen Sie z.b. Internet. Den User IP-Pool setzen Sie auf z.b. SSL_Clients. Bei Gateway tragen Sie z.b. 62.10.20.30 ein. Im Untermenü Advanced können Sie optional das Debugging zur Fehleranalyse auf den Wert Normal stellen. 13.6 Firewall Regel Für den Aufbau der SSL Verbindung brauchen Sie keine Firewall Regeln. Damit aber der Datenverkehr durch den Tunnel erlaubt ist, müssen Sie die Daten vom remote Client zum lokalen Netz freigeben. Gehen Sie für die Konfiguration in folgendes Menü: GUI Firewall Policies Filter New Seite - 11 -
Folgende Punkte sind hier relevant: Name Source Interface Source Item Destination Interface Destination Item Service Action Ist die Bezeichnung des Eintrags. Gibt das Interface an, woher die Pakete kommen. Gibt die IP-Adresse / Netz an, woher die Pakete kommen. Gibt das Ziel Interface an, wohin die Pakete geroutet werden. Gibt die Ziel IP-Adresse / Netz an. Bestimmt einen Dienst, den die Firewall beachten soll. Geben Sie die Aktion für den Filter an. Als Namen wählen Sie z.b. SSL-VPN. Das Source Interface stellen Sie auf: sslvpn. Bei Source Item wählen Sie das entfernte Netz z.b. SSL_Client. Unter Destination Interface wählen Sie z.b. INT aus. Bei Destination Item wählen Sie: Local_Net. Seite - 12 -
Den Service setzen Sie auf: any. Die Action setzen Sie auf z.b. Accept. Bestätigen Sie ihre Eingaben mit OK. 13.7 User Portal einschalten Damit die Benutzer für die SSL Verbindungen sich die Software und die Konfiguration selbständig herunterladen können, richten Sie das User Portal in folgendem Menü: GUI Local Services User Portal Folgende Punkte sind hier relevant: User Portal HTTPS Port Allow access from external interface Aktivieren oder deaktivieren Sie das User Portal. Der TCP Port für den Zugriff auf das User Portal. Geben Sie den Zugriff von extern auf das Portal frei. Setzen Sie den Haken bei User Portal auf z.b. Enabled. Den HTTPS Port konfigurieren Sie auf z.b. 6443. Stellen Sie Allow access from external interface auf z.b. Yes. Seite - 13 -
13.8 SSL Client Konfiguration 13.8a Software & Konfiguration Download Über das User Portal haben die SSL VPN User die Möglichkeit, die Client Software und die Konfiguration für die Verbindung herunterzuladen. Gehen Sie folgendermassen vor, um sich im User Portal einzuloggen: Geben Sie im Browser folgende URL ein: z.b. https://62.10.20.30:6443. Bei Benutzername tragen Sie z.b. ssl-user ein. Als Passwort verwenden Sie z.b. passwort. Gehen Sie anschliessend in folgendes Menü, um die Client Software und die Konfiguration herunterzuladen: User Portal VPN SSL-VPN Folgende Punkte sind hier relevant: Download-Typ Zertifikats-Kennwort Wählen Sie die Komponenten aus, die Sie benötigen. Dies ist das Kennwort, um das Zertifikat zu schützen. Stellen Sie den Download-Typ auf z.b. Client und Konfiguration. Als Zertifikats-Kennwort verwenden Sie z.b. 1234567890. Drücken Sie den Button OK und speichern Ihre ZIP-Datei auf Festplatte. Seite - 14 -
13.8b SSL Client Konfiguration Die gespeicherte ZIP-Datei beinhaltet die Client Software, das PDF Handbuch und die Konfiguration. Nachdem Sie die ZIP-Datei vollständig entpackt haben und die Client Software installiert haben, fahren Sie mit der Konfiguration des SSL-Clients fort. Nach der Installation erscheint ein neues Symbol in der Taskleiste. Mit der rechten Maustaste erreichen Sie folgendes Menü: SSL VPN Client VPN-Tunnel verwalten Über den Button Neuen Tunnel definieren, können Sie eine Verbindung hinzufügen. Unter Name tragen Sie eine Bezeichnung ein z.b. Zentrale. Wählen Sie bei Durchsuchen die Konfiguration der Verbindung aus z.b. utm.utm. Bestätigen Sie Ihre Eingaben mit Speichern. Seite - 15 -
INFO Die Konfigurationsdatei utm.utm ist eine ZIP-Datei. Sie beinhaltet die Open VPN Konfiguration, den HMAC Schlüssel und das PKCS#12 Zertifikat. Bevor Sie die Verbindung aufbauen können, werden Sie zur Eingabe der Authentifizierung und des Zertifikats Passwort aufgefordert. Unter Benutzername verwenden Sie z.b. ssl-user. Tragen Sie bei Passwort z.b. passwort ein. Verwenden Sie als Passwort für Zertifikat z.b. 1234567890. Bestätigen Sie Ihre Eingaben und den Verbindungsaufbau mit Verbinden. Seite - 16 -
13.9 Verbindung überprüfen Der SSL-Client bietet die Möglichkeit ein Logfile sofort beim Verbindungsaufbau als auch nach einem Verbindungsversuch anzuzeigen, wo Sie die Debug Meldungen überprüfen können. In der UTM haben Sie in folgendem Menü eine Übersicht aller aufgebauten SSL-Tunnel: GUI Monitoring VPN Connections SSL-VPN Seite - 17 -
Gehen Sie in folgendes Menü, um die Logfiles in der UTM auszuwerten: GUI Monitoring Internal Log Von der Eingabeaufforderung am Rechner überprüfen Sie die Kommunikation mit einem Ping zu der IP-Adresse der UTM. c:\>ping 192.168.0.1 Ping wird ausgeführt für 192.168.0.1 mit 32 Bytes Daten: Antwort von 192.168.0.1: Bytes=32 Zeit=3ms TTL=61 Antwort von 192.168.0.1: Bytes=32 Zeit=1ms TTL=61 Antwort von 192.168.0.1: Bytes=32 Zeit=2ms TTL=61 Antwort von 192.168.0.1: Bytes=32 Zeit=2ms TTL=61 Ping-Statistik für 192.168.0.1: Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 1ms, Maximum = 3ms, Mittelwert = 2ms INFO Der Einsatz von mehreren VPN Software Lösungen auf einem Rechner, kann zu einem Konflikt führen. Seite - 18 -