[Dr.WoW] [No.39] Mecanismos SSL VPN -parte 2

Pubilicado 2019-1-16 04:01:19 31 0 0 0

4 Autenticación de identidad de usuario

Para garantizar la legitimidad de los usuarios remotos de SSL VPN y para mejorar la seguridad del sistema, el servidor SSL VPN normalmente admite varios métodos de autenticación. Anteriormente, usamos la configuración y el almacenamiento de un nombre de usuario/contraseña en el firewall como ejemplo. Este es el método de autenticación más básico y simple. Los firewalls de Huawei son compatibles con los siguientes métodos de autenticación:

·         Autenticación local del nombre de usuario/contraseña: se refiere a la configuración y almacenamiento de un nombre de usuario/contraseña en el firewall. El usuario puede iniciar sesión correctamente simplemente ingresando el nombre de usuario/contraseña correspondiente.

·         Autenticación del servidor del nombre de usuario/contraseña: se refiere al almacenamiento del nombre de usuario/contraseña en un servidor especial de autenticación de terceros. Una vez que el usuario ingresa el nombre de usuario/contraseña, el firewall lo reenvía al servidor de autenticación para su autenticación. Los tipos de servidores de autenticación actualmente admitidos incluyen RADIUS, HWTACACS, SecurID, AD y LDAP.

·         Autenticación de certificado anónimo: se refiere al cliente del usuario que configura un certificado de cliente. El firewall verifica el certificado del cliente para autenticar la identidad del usuario.

·         Autenticación de certificado de desafío: se refiere al servidor que usa autenticación de dos factores (nombre de usuario/contraseña + certificado de cliente) para autenticar la identidad de un usuario. Este tipo de método es claramente el más seguro.

? Si solo se usa la autenticación de certificado de cliente, es imposible garantizar la seguridad si el cliente se pierde o se usa ilegalmente;

? Si solo se usa el nombre/contraseña del cliente para la autenticación, si se usa un cliente diferente, el cliente puede presentar un riesgo de seguridad.

El método de autenticación de dos factores garantiza que un usuario designado use un cliente designado para iniciar sesión en el servidor VPN SSL, por lo que accede legítimamente a los recursos de la red interna.

La autenticación local y la autenticación del nombre de usuario/contraseña del servidor de terceros son los métodos de autenticación de usuario más comunes, y no se describirán más aquí. A continuación, voy a introducir la autenticación de certificado.

La autenticación de certificados de desafío tiene una autenticación más del nombre de usuario/contraseña que la autenticación de certificados anónimos, pero los principios siguen siendo los mismos y, por lo tanto, pueden describirse juntos.

El firewall (el servidor VPN SSL) utiliza la verificación del certificado del cliente para autenticar la identidad del usuario. El proceso se muestra en la Figura 1-4.

Figura 1-4 Proceso de autenticación del certificado

035533aguns0sem381upp3.png

El firewall autentica la identidad del usuario a través de la verificación del certificado del cliente. El proceso es el siguiente:

1. El usuario y el firewall importan respectivamente un certificado de cliente (usuario) y un certificado de CA del cliente (firewall) emitidos por la misma autoridad de CA.

2. El usuario (cliente) envía su propio certificado al firewall, y el firewall realiza la autenticación de este certificado. La autenticación será exitosa si se cumplen las siguientes condiciones.

? El certificado del cliente y el certificado de la CA del cliente importados al firewall han sido emitidos por la misma CA.

? El certificado de cliente está dentro de su período de validez.

? El campo de filtrado de usuarios en el certificado del cliente es el nombre de usuario que ya se ha configurado y almacenado en el firewall. Por ejemplo, si el campo de filtrado de usuarios del certificado del cliente lee CN = user000019, y el nombre de usuario correspondiente user000019 ya se ha configurado en el firewall, esto demuestra que este es el certificado de cliente emitido para user000019.

3. Después de que el usuario pase la autenticación de identidad del firewall, el usuario iniciará sesión exitosamente en la interfaz de recursos y podrá acceder a los recursos designados de la red interna.

Arriba, yo, el Dr. WoW, ya he mostrado una captura de paquetes de la etapa de intercambio de SSL al usar el nombre de usuario/contraseña para iniciar sesión en la puerta de enlace virtual del firewall, y a continuación cambiaremos el método de autenticación a certificado anónimo para llevar a cabo un vistazo a cómo el servidor autentica un certificado de cliente durante la transferencia de datos cifrados.

En la interfaz de la puerta de enlace virtual del servidor de seguridad, y después de la configuración del certificado que el cliente necesita utilizar, la información de captura de paquetes es la que se muestra a continuación. Es imposible discernir qué paquete es este de la información, por lo que importamos la clave privada del servidor de seguridad (el servidor SSL) y usamos la herramienta de captura de paquetes para decodificar el paquete capturado.

035547a6pxz9o760rmxe0v.png

Para comparar brevemente las columnas de la izquierda y la derecha, podemos ver que en el número 895, el primer mensaje que aparece como 'Encrypted Handshake Message' es en realidad una Solicitud de saludo enviada desde el Servidor 10.174.64.61 al Cliente 10.108.84.93. El cliente responde, luego de lo cual el servidor envía un servidor Hola. Después de este mensaje, el servidor envía una solicitud para autenticar el certificado del cliente al cliente. A partir de la captura de paquetes, parece que esta negociación no tuvo éxito por algún motivo, y la negociación entre el cliente y el servidor continuará.

A partir del número 1045, el servidor vuelve a descubrir una solicitud de saludo y luego continúa con las operaciones. En el número 1085, el servidor solicita que el cliente proporcione un certificado. En el No. 1088, el cliente envía su certificado al servidor, y en el No. 1097 el servidor autentica el certificado del cliente, con la captura de paquetes que muestra que el certificado es ilegítimo y no puede pasar la autenticación. Aunque la autenticación no fue exitosa, la información mencionada refleja de hecho todo el proceso de autenticación del servidor del certificado del cliente; por favor compare los lados izquierdo y derecho para ayudar a su comprensión.

Anteriormente, he terminado mi introducción completa del proceso de establecer una conexión entre un usuario remoto y el servidor VPN SSL e iniciar sesión correctamente en el servidor VPN SSL. En las siguientes secciones, usaré la familia de firewalls USG6000 como ejemplo, y presentaré primero el acceso a los archivos y el acceso a la web (de correos electrónicos, etc.; el acceso a los archivos y el acceso a la web son usos muy comunes en un escenario de oficina), y luego introduzca el reenvío de puertos y la extensión de la red, organizando nuestra discusión desde una granularidad de control de acceso más refinada hasta una granularidad de control de acceso más basta.

NOTA:

Estamos utilizando la familia de firewalls USG6000 en nuestra introducción porque, en comparación con la serie de firewalls USG2000/5000, la funcionalidad SSL VPN en el USG6000 tiene un método de autenticación de usuario mejorado, utilizando el método de autenticación universal provisto por el Firewall (esto fue presentado en "8.1.4 autenticación de identidad del usuario) para hacer que la lógica de configuración y el proceso sean más claros y fáciles de entender. A continuación, cambiaremos nuestro enfoque a la configuración operativa VPN SSL, la autorización de recursos y el control de acceso para introducir la funcionalidad VPN SSL, y no lo haremos. Dar una introducción más detallada sobre la autenticación del usuario.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba