Kormányablak, Ügyfélkapu, magyarorszag.hu, kormany.hu
KORMÁNYABLAK, ÜGYFÉLKAPU - A ZÁRT AJTÓK MÖGÖTT...
(nem hivatalos e-kormányzati témájú oldal)
  
BEMUTATKOZÁS 
E-KÖZIGAZGATÁS 
IT BIZTONSÁG 
  
































  Mottó:
Oly távol vagy tőlem,
és mégis közel
/István a király:
Oly távol vagy tőlem/
2012. május 12.  
 Közel, s távol 
   
Mostanában a 2012. március 13-án kiadott, MS12-020 jelű Microsoft frissítéstől hangosak a szakmai fórumok. A két hibajavítást tartalmazó csomagban - ahogy azt Buherátor is megírta - "a súlyosabbik távoli kódfuttatást tesz lehetővé a Távoli Asztal szolgáltatáson keresztül, autentikáció előtt". Az exploit-hoz kapcsolódó fejleményeket az IsTheRDPExploitOutYet.com oldalon lehet nyomonkövetni, ugyanakkor a potenciális célpontokat akár nyilvános szolgáltatások segítségével is fel lehet deríteni. Erre egy példát szintén Buheránál lehet olvasni: VPNHunter.com, ahol pl. kínai kormányzati szerverekre rákeresve találhatunk (vélhetőleg már befoltozott) RDP-s szolgáltatást is.

A leírtak alapján látszik, hogy a frissítés kötelező. Emellett viszont érdemes lehet megnézni, hogy milyen egyéb megoldások léteznek távoli hozzáférésre az RDP mellett vagy akár helyette is. Noha, az RDP is a v5.2 óta tud kezelni szabványos SSL/TLS kapcsolatot, az OpenVPN - jelen bejegyzés főszereplője - azonban ezt a kezdetek óta használja rejtjelezésre, illetve erős (két faktoros) kliens oldali hitelesítésre.

Az OpenVPN egy SSL/TLS protokollon alapuló VPN megoldás, amelyhez az OpenSSL implementációt használja. Az OpenVPN szerver felhúzása után merül fel a kérdés, hogy akkor az egyes kliensek milyen módon tárolják a kulcsaikat, mennyire lehet problémás a beállítás és a használat, ha a titkos kulcs mondjuk egy USB tokenen van. A kulcstárolási lehetőségek előtt azonban érdemes szót ejteni az egyéb adatok kezeléséről: pl. lehetséges, hogy bizonyos körülmények között még akár a VPN-beállításainkat sem akarjuk a kliensen tárolni, nem akarunk ilyen nyomokat hagyni. Erre az esetre nyújt megoldást az OpenVPN Portable alkalmazás, amelyet akár a pendrive-unkra is felrakhatunk. Az alkalmazás indításakor települnek, leállításakor törlődnek a szükséges virtuális hálózati interfészek. Ezzel elérhetjük, hogy az .ovpn konfigurációs állományok a zsebünkben, a pendrive-unkon maradjanak. (Persze, mindenki maga tudja, hogy mire tud jobban vigyázni, hol lehetnek nagyobb biztonságban az adatai, de legalább a lehetőség adott többféle megoldásra is.)

Lássuk akkor a kliens beállításait dióhéjban! A példában szereplő "VPN_3.ovpn" konfigurációs fájlban meg kellett adni, hogy kliens oldalról van szó, hogy TCP vagy UDP típusú kapcsolatot kell használni, természetesen az OpenVPN szerver címét és portját is, ahol figyel, illetve lassabb netkapcsolat + erősebb processzor esetében hasznos lehet a tömörítés beállítása is (főleg UDP-vel). A konfiguráció fontos része a kulcsok és tanúsítványok meghivatkozása. A felhasználói hitelesítéshez kriptográfiai kulcsokat kell létrehozni, ezeket akár PKCS#12 formátumú (.p12 vagy .pfx kiterjesztésű) fájlként szintén a pendrive-ra vagy akár külön kütyüre (pl. USB-s kulcstároló tokenre, chipkártyára) lehet tenni. A kulcs tárolásától függően kell beállítani, hogy fájlként vagy esetleg lenyomat alapján a tanúsítványtárból kell tudnia elérni az OpenVPN kliensnek. A pendrive-on tárolt fájlok megadása a "cert" és a "key" kifejezés révén oldható meg, a kütyün tároltak lenyomatát, pedig a "cryptoapicert" után kell beírni. Ez utóbbi esetben a lenyomat a tanúsítványtárban megjelenő tanúsítvány belső, Windows által használt SHA-1 lenyomata. A Windows ezen - CryptoAPI - szintje tudja, hogy a meghivatkozott tanúsítvány milyen CSP-n (Cryptographic Service Provider) keresztül, milyen eszközzel kell, hogy kommunikáljon, ezért a titkos kulcs helyéről nem kell nyilatkozni. Magát az engedélyezést, a titkos kulcshoz való hozzáférést pedig már az adott CSP fogja elvégezni.

A konfigurációs állományok mentése után már lehet is kezdeményezni a VPN kapcsolat felépítését.

A kapcsolatfelépítés során a titkos kulcsunkhoz való hozzáférést engedélyezni kell a jelszó megadásával (ehhez a kulcstároló driver, illetve CSP dob fel ablakot).

A kapcsolat létrejött, kaptunk belső IP-címet, amelyről a megfelelő tűzfal-szabályok alapján már elérhetjük a kívánt gépet. A pendrive-ra ezen kívül még felfér néhány népszerű alkalmazás "portable" változata is, ami jól jöhet a napi munkavégzés során: WinSCP Portable, Wireshark Portable stb. Jó munkát!

Kapcsolódó anyagok:
 vissza 
   
  info@kormanyablak.org
info@ugyfelkapu.info